Información general
Eres ingeniero de seguridad en CompañíaX. Eres responsable de la seguridad de todas las instancias de Amazon Elastic Compute Cloud (Amazon EC2), de los datos guardados en las instancias (datos en reposo) y de los datos cuando se desplazan entre instancias (datos en tránsito) de la empresa.
Los desarrolladores de aplicaciones de CompañíaX a menudo usan instancias de EC2 con servidores web de frontend y servidores de base de datos de backend. En lugar de tener que aplicar ajustes relacionados con la seguridad a las instancias nuevas, una por una, a medida que se van implementando, te gustaría proporcionar una imagen de base preconfigurada para todas las instancias de la empresa.
En este laboratorio, creas una Amazon Machine Image (AMI) personalizada que contiene distintos cambios de configuración. Después, implementas una instancia nueva desde la AMI personalizada y utilizas los scripts de datos de usuario en la instancia para añadir a un usuario nuevo específico a la función de la instancia. Posteriormente, aprendes a utilizar AWS Systems Manager para mantener las instancias parcheadas. Por último, utilizas las normas de cifrado y de grupo de seguridad de Amazon Elastic Block Store (Amazon EBS) para proteger los datos en reposo y en tránsito de la empresa.
Objetivos
Al finalizar este laboratorio, podrás hacer lo siguiente:
- Crear una AMI personalizada.
- Implementar una nueva instancia de EC2 a partir de una AMI personalizada.
- Aplicar parches a una instancia de EC2 con AWS Systems Manager.
- Cifrar un volumen de EBS.
- Comprender cómo funciona el cifrado de EBS y cómo afecta a otras operaciones, como las instantáneas.
- Usar grupos de seguridad para limitar el tráfico entre las instancias de EC2 únicamente al que está cifrado.
Conocimientos técnicos necesarios
Para completar esta laboratorio correctamente, debes conocer la navegación básica de la consola de administración de AWS y sentirte cómodo ejecutando comandos en una Command Line Interface (CLI) de Linux.
Duración
El tiempo estimado para completar este laboratorio es de 45 minutos.
Clave de iconos
En este laboratorio se utilizan varios iconos para llamar la atención sobre diferentes tipos de instrucciones y notas. En la siguiente lista se explica el propósito de cada icono:
- (Habilitar) Comando: Un comando que debes ejecutar.
- (Habilitar) Salida esperada: contiene una muestra de salida que permite revisar la salida de un comando o archivo editado.
- Nota: Indica una pista, un consejo o una orientación importante.
- Información adicional: indica dónde encontrar más información.
- (Habilitar) Precaución: Información de especial interés o importancia (no es tan importante como para causar problemas con el equipamiento o los datos si la pasas por alto, pero podría dar lugar a la necesidad de repetir ciertos pasos).
- Ten en cuenta: Propone hacer una pausa para considerar cómo aplicarías un concepto en tu propio entorno o para iniciar una conversación sobre el tema en cuestión.
- (Habilitar) Actualizar: Un momento en el que puede ser necesario actualizar una página del navegador web o una lista para mostrar nueva información.
Información general del entorno
El diagrama siguiente muestra la arquitectura básica del entorno de laboratorio:
La lista siguiente recoge los principales recursos del diagrama:
- Una VPC con una subred pública y dos subredes privadas en una única zona de disponibilidad, y una subred pública en una segunda zona de disponibilidad.
- Un Network Load Balancer con dos nodos, uno en cada subred pública.
- Una instancia de EC2 que actúa como un servidor web en la primera subred privada.
- Una instancia de EC2 que actúa como un servidor de base de datos en la segunda subred.
- Dos grupos de seguridad, uno para cada instancia, basados en su fin.
El tráfico de la red fluye desde un usuario externo, a través de una gateway de internet, a uno de los dos nodos del Network Load Balancer y al servidor web. Si se solicita la URL del blog de WordPress que se ejecuta en el servidor web, el tráfico fluye también al servidor de base de datos.