SEC 5: ¿Cómo protege los recursos de su red?

Cualquier carga de trabajo que tenga alguna forma de conectividad de red, ya sea de Internet o una red privada, requiere varios niveles de defensa para ayudar a protegerse de las amenazas externas e internas relacionadas con la red.

Recursos

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

Prácticas recomendadas:

• Cree niveles de red: Agrupe en niveles a los componentes que comparten los requisitos de accesibilidad. Por ejemplo, un clúster de bases de datos en una VPC sin necesidad de acceso a Internet debería ser colocado en subredes sin ruta hacia o desde Internet. En una carga de trabajo sin servidor que funcione sin un VPC, una segmentación y nivelación similar con microservicios puede cumplir el mismo objetivo.

• Controle el tráfico en todos los niveles: Aplique los controles con un enfoque de defensa profundo, tanto para el tráfico de entrada como el de salida. Por ejemplo, para Amazon Virtual Private Cloud (VPC), esto incluye grupos de seguridad, listas de control de acceso de red y subredes. Para AWS Lambda, considere la posibilidad de ejecutar en su VPC privada con controles basados en VPC.

• Automatice la protección de la red: Automatice los mecanismos de protección para obtener una red capaz de defenderse a sí misma, basada en la inteligencia contra amenazas y la detección de anomalías. Por ejemplo, herramientas de detección y prevención de intrusiones que se pueden adaptar de manera proactiva a las amenazas actuales y reducir su impacto.

• Implemente inspección y protección: Inspeccione y filtre el tráfico en cada nivel. Por ejemplo, utilice un firewall de aplicaciones web para ayudar a protegerse contra el acceso inadvertido en el nivel de red de la aplicación. Para las funciones de Lambda, las herramientas de terceros pueden agregar un firewall en los niveles de aplicaciones a su entorno de tiempo de ejecución.

Plan de mejora

Cree niveles de red

Cree subredes en VPC: Cree subredes para cada nivel (en grupos que incluyan varias zonas de disponibilidad) y asocie tablas de enrutamiento para controlar el direccionamiento.
VPCs and subnets
Route tables

Controle el tráfico en todos los niveles

Controle el tráfico de red en una VPC: Implemente las prácticas recomendadas de VPC para controlar el tráfico
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs

Controle el tráfico en el borde: Implemente servicios de borde, como Amazon CloudFront, a fin de proporcionar un nivel de protección adicional y otras características.
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing

Controle el tráfico de la red privada: Implemente servicios que protejan el tráfico privado de su carga de trabajo.
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points

Automatice la protección de la red

Automatice la protección para el tráfico en la web: AWS ofrece una solución que utiliza AWS CloudFormation para implementar automáticamente un conjunto de reglas de AWS WAF diseñadas para filtrar los ataques comunes en la web. Los usuarios pueden seleccionar entre las características de protección predeterminadas que definen las reglas incluidas en una lista de control de acceso a la web (ACL web) de AWS WAF.
AWS WAF security automations

Considere las soluciones de los socios de APN: Los socios de APN ofrecen cientos de productos líderes en la industria que son equivalentes, idénticos o se integran a los controles existentes de sus entornos en las instalaciones. Estos productos complementan los servicios existentes de AWS para permitirle implementar una arquitectura de seguridad integral y una mejor experiencia en sus entornos en la nube y en las instalaciones.
Infrastructure security

Implemente inspección y protección

Configure Amazon GuardDuty: Amazon GuardDuty es un servicio de detección de amenazas que monitorea continuamente la actividad maliciosa y el comportamiento no autorizado a fin de proteger las cuentas y las cargas de trabajo de AWS. Habilite GuardDuty y configure alertas automatizadas.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

Configure los registros de flujo de VPC: El registro de flujo de VPC es una característica que le permite capturar información sobre el tráfico de IP que va y entre de las interfaces de red en su VPC. Los datos de los registros de flujo se pueden publicar en Amazon CloudWatch Logs y Amazon S3. Tras crear un registro de flujo, puede descargar y ver sus datos en el destino elegido.

Considere la posibilidad de duplicar el tráfico de la VPC: La duplicación de tráfico es una característica de Amazon VPC que puede utilizarse con el fin de copiar el tráfico de red de una interfaz de red elástica de las instancias de Amazon EC2, para luego enviarlo a los dispositivos de seguridad y monitoreo externos a fin de realizar la inspección de contenido, el monitoreo de amenazas y la resolución de problemas.
VPC traffic mirroring