Información general
Es ingeniero de seguridad de red de AnyCompany. Es responsable de crear una infraestructura de red segura en AWS como preparación para la próxima migración de AnyCompany a la nube. AnyCompany tiene una infraestructura de seguridad de red de tres capas en las instalaciones:
- La zona de acceso pública aloja los balanceadores de carga que funcionan como el principal punto de conexión con los servidores web.
- La zona de servidor web aloja los servidores de frontend para su sitio web.
- La zona de base de datos aloja los servidores de la base de datos de backend que proporcionan datos al sitio web.
Debe garantizar que cada zona se segmente de forma segura respecto a la otra y que solo se permita el flujo de cierto tipo de tráfico entre sí para admitir las aplicaciones y los sitios web de la empresa.
En este laboratorio, utilizará las subredes privadas y públicas, los grupos de seguridad y las ACL de red para crear una infraestructura de red de tres zonas de seguridad. Luego utilizará los registros de flujo de VPC para supervisar el tráfico que accede a los recursos en cada zona a fin de verificar que solo se permita el tráfico necesario.
Objetivos
Al final de este laboratorio, podrá realizar lo siguiente:
- crear una infraestructura de red de tres zonas de seguridad
- implementar la segmentación de red con los grupos de seguridad, las ACL de red y las subredes privadas y públicas
- supervisar el tráfico de red hacia las instancias EC2 con los registros de flujo de VPC
Requisitos de conocimientos técnicos previos
Para completar correctamente este laboratorio, debe estar familiarizado con la navegación de la consola de administración de AWS y comprender los conceptos de redes básicos.
Duración
El tiempo estimado para completar este laboratorio es de 45 minutos.
Significados de los íconos
A lo largo de este laboratorio, se utilizan varios íconos para llamar la atención sobre diferentes tipos de instrucciones y notas. En la siguiente lista, se explica el propósito de cada ícono:
- un resultado de ejemplo que puede utilizar para verificar el resultado de un comando o archivo editado
- un consejo, pista u orientación importante
- un lugar donde encontrar más información
- información de especial interés o importancia (no es tan importante como para causar problemas con el equipo o los datos si la omite, pero podría ocasionar la necesidad de repetir ciertos pasos)
- la posibilidad de hacer una pausa para considerar cómo aplicar un concepto a su propio entorno o iniciar una conversación sobre el tema que debe tratar
- una oportunidad para verificar lo que sabe y poner a prueba lo que ha aprendido
- una sugerencia a un desafío o pregunta
Información general sobre el entorno
En el siguiente diagrama, se muestra la arquitectura básica del entorno del laboratorio:
La siguiente lista detalla los principales recursos en el diagrama:
- una VPC con una subred pública y dos subredes privadas en una zona de disponibilidad y una subred pública en otra zona de disponibilidad
- un Network Load Balancer con dos nodos, uno en cada subred pública
- una instancia EC2 que actúa como servidor web en la primera subred privada
- una instancia EC2 que actúa como servidor de base de datos en la segunda subred
- dos grupos de seguridad, uno para cada instancia según su objetivo
El tráfico de red va desde un usuario externo, mediante una gateway de internet, a uno de los dos nodos del Network Load Balancer, a un servidor web. Si se solicita la URL del blog de WordPress que se ejecuta en el servidor web, el tráfico fluye también hacia el servidor de la base de datos.
Debido a las restricciones actuales en la plataforma del laboratorio con la creación de certificados para un equilibrador de carga de aplicación, se utiliza en cambio un Network Load Balancer. El balanceador de carga actúa como un acceso directo para el tráfico entrante hacia el servidor web. No analiza ni transforma el tráfico de ningún modo. En un entorno de producción, podría considerar utilizar un equilibrador de carga de aplicación para aprovechar sus funciones y medidas de seguridad adicionales, como la aceptación y el procesamiento de una solicitud HTTPS de un cliente antes de que acceda al servidor web. Para obtener más información acerca de las funciones de cada tipo de Elastic Load Balancer, consulte Características de Elastic Load Balancing en la sección Recursos adicionales al final de este laboratorio.