Información general
Es ingeniero de seguridad de AnyCompany. Es responsable de la seguridad de todas las instancias de Amazon Elastic Compute Cloud (Amazon EC2) de la empresa, de los datos almacenados en las instancias (datos en reposo) y de los datos que se trasladan entre las instancias (datos en tránsito).
Los desarrolladores de aplicaciones de AnyCompany suelen utilizar instancias EC2 para los servidores web de frontend y los servidores de base de datos de backend. En lugar de tener que aplicar ajustes relacionados con la seguridad a cada nueva instancia a medida que se implementan, quisiera proporcionar una imagen base preconfigurada para todas las instancias de la empresa.
En este laboratorio, creará una Amazon Machine Image (AMI) personalizada que tendrá varios cambios de configuración. Luego implementará una nueva instancia en la AMI personalizada y utilizará los scripts de datos de usuario de la instancia para agregar un nuevo usuario específico de la función de la instancia. Luego aprenderá a utilizar AWS Systems Manager para mantener los parches de las instancias. Por último, utilizará las reglas de los grupos de seguridad y cifrado de Amazon Elastic Block Store (Amazon EBS) para proteger los datos de la empresa en reposo y en tránsito.
Objetivos
Al final de este laboratorio, podrá hacer lo siguiente:
- Crear una AMI personalizada.
- Implementar una nueva instancia EC2 desde una AMI personalizada.
- Aplicar parches a una instancia EC2 mediante AWS Systems Manager.
- Cifrar un volumen de EBS.
- Comprender el funcionamiento del cifrado de EBS y su impacto en otras operaciones, como las instantáneas.
- Utilizar grupos de seguridad para limitar el tráfico entre las instancias EC2 solamente al tráfico que está cifrado.
Conocimientos técnicos previos necesarios
A fin de completar correctamente este laboratorio, debe estar familiarizado con la navegación básica de la consola de administración de AWS y sentirse cómodo para ejecutar comandos en una Command Line Interface (CLI) de Linux.
Duración
El tiempo estimado para completar este laboratorio es de 45 minutos.
Significados de los íconos
A lo largo de este laboratorio, se utilizan varios íconos para llamar la atención sobre diferentes tipos de instrucciones y notas. En la siguiente lista, se explica el propósito de cada ícono:
- Comando: un comando que debe ejecutar.
- Resultado esperado: un resultado de ejemplo que puede utilizar para verificar el resultado de un comando o archivo editado
- Nota: Una pista, consejo u orientación importante.
- Información adicional: dónde encontrar más información.
- Precaución: información de especial interés o importancia (no es tan importante como para causar problemas con el equipo o los datos si la omite, pero podría ocasionar la necesidad de repetir ciertos pasos).
- Considere: un momento para hacer una pausa y considerar cómo aplicaría un concepto en su propio entorno o para iniciar una conversación sobre el tema en cuestión.
- Actualización: un momento en el que podría tener que actualizar una lista o página del navegador web para que se muestre información nueva
Información general sobre el entorno
En el siguiente diagrama, se muestra la arquitectura básica del entorno del laboratorio:
En la siguiente lista, se detallan los principales recursos en el diagrama:
- una VPC con una subred pública y dos subredes privadas en una zona de disponibilidad y una subred pública en otra zona de disponibilidad
- un Network Load Balancer con dos nodos, uno en cada subred pública
- una instancia EC2 que actúa como servidor web en la primera subred privada
- una instancia EC2 que actúa como servidor de base de datos en la segunda subred
- dos grupos de seguridad, uno para cada instancia según su objetivo
El tráfico de la red va desde un usuario externo, mediante una gateway de Internet, a uno de los dos nodos del Network Load Balancer, a un servidor web. Si se solicita la URL del blog de WordPress que se ejecuta en el servidor web, el tráfico fluye también hacia el servidor de la base de datos.