Información general sobre el laboratorio
Los grupos de seguridad son firewalls virtuales adjuntos a las instancias de Amazon Elastic Compute Cloud (Amazon EC2). Las reglas del grupo de seguridad definen el tráfico de entrada y de salida que se permite en una instancia. En este laboratorio, usted es un monitor de seguridad encargado de configurar las reglas de acceso para las instancias de Amazon EC2. Debe asegurarse de que solo se permita el tráfico autorizado en cada instancia. Para llevar a cabo esta actividad, revise el tráfico que se debe permitir e inspeccione las reglas del grupo de seguridad adjuntas a una instancia. A continuación, pruebe la conectividad y corrija las reglas mal configuradas.
En este laboratorio, se ha lanzado una instancia denominada AppServer, que actúa como servidor de aplicaciones, en una subred privada. Esto quiere decir que no es posible acceder a la instancia directamente desde Internet. Para probar las reglas del grupo de seguridad de AppServer, usted primero se conectará a una instancia de Amazon EC2 intermediaria en una subred pública de la misma nube virtual privada (VPC). La instancia intermediaria se conoce como host bastión (o servidor de salto) y, por ende, se denomina BastionHost. Desde la conexión de BastionHost, usted se conectará a las reglas del grupo de seguridad de la instancia AppServer en la subred privada, y las probará. La implementación de un modelo de servidor de salto/host bastión es una configuración de seguridad de red común para administrar de forma remota los recursos de la subred privada.
Existe una segunda instancia de Amazon EC2 llamada PublicServer en la subred pública. Primero, utilizará la instancia PublicServer para probar y asegurarse de que solo se permita el tráfico SSH en AppServer desde BastionHost. Esto minimiza el riesgo de que hayan operaciones de SSH no autorizadas en AppServer. Más adelante, usted duplicará la configuración de seguridad desde BastionHost para PublicServer para crear un segundo host bastión para generar redundancia.
Para mayor simplicidad, se ha instalado el agente para el servicio de AWS Systems Manager en BastionHost y PublicServer. Esto le permite usar Session Manager de Systems Manager para crear de manera instantánea una sesión de SSH para cualquiera de esas instancias usando una URL preconfigurada en su navegador. Hacia el final del laboratorio, investigará más sobre Session Manager como una alternativa al uso de un host bastión tradicional.
Session Manager es una capacidad completamente administrada de AWS Systems Manager que permite administrar las instancias de Amazon EC2, las instancias locales y las máquinas virtuales (VM). Esto puede hacerse a través de un shell interactivo basado en navegador con un solo clic o a través de AWS Command Line Interface (AWS CLI). Session Manager proporciona una administración de instancias segura que se puede auditar sin necesidad de abrir puertos de entrada, mantener hosts bastión ni administrar claves SSH. Session Manager también facilita el cumplimiento de las políticas corporativas que requieren acceso controlado a las instancias, prácticas de seguridad estrictas y registros completamente auditables con detalles de acceso de la instancia. A su vez, permite proporcionar a los usuarios finales acceso simple entre plataformas con un solo clic a las instancias administradas.
Temas tratados
Tras completar el laboratorio, estará capacitado para llevar a cabo las siguientes acciones:
- examinar los grupos de seguridad y definir qué tráfico se permite
- cambiar los grupos de seguridad que se aplican a las instancias de Amazon EC2
- actualizar los grupos de seguridad para que sigan el principio del mínimo privilegio
- comprender de qué manera los grupos de seguridad pueden hacer referencia a otros grupos de seguridad
- entender cómo aprovechar el administrador de sesiones para conectarse a las instancias
Requisitos previos
Los requisitos de este laboratorio son los siguientes:
-
acceso a una computadora portátil con wifi y Microsoft Windows, macOS o Linux (Ubuntu, SuSE o Red Hat)
Nota: No se puede acceder al entorno de laboratorio con un iPad o una tableta, pero se los puede utilizar para acceder a la guía del estudiante.
-
En el caso de los usuarios de Microsoft Windows, deben tener acceso de administrador a la computadora
-
Es necesario un navegador de Internet, como Chrome, Firefox o Internet Explorer 9 (las versiones anteriores de Internet Explorer no son compatibles).
-
Un cliente SSH, como PuTTY (opcional)
Duración
Se requieren unos 45 minutos para completar este laboratorio.
Servicios de AWS que no se utilizan en este laboratorio
En el entorno de laboratorio, los servicios de AWS que no se utilizan en este laboratorio están desactivados. Además, las capacidades de los servicios que se utilizan en este laboratorio se limitan a lo que este requiere. Espere recibir mensajes de error cuando acceda a otros servicios o cuando lleve a cabo acciones que no consten en la guía de este laboratorio.