UNIDAD II: SERVICIOS CLOUD DE COMPUTING Y RED

ADMINISTRACIÓN DE SERVIDORES CLOUD

ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Consideraciones Previas
El contenido que se expone a continuación está ligado a los siguientes
aprendizajes esperados:

• Caracterizar los servicios de COMPUTE en AWS

Sobre las fuentes utilizadas en el material

El presente Material de Estudio constituye un ejercicio de recopilación de

distintas fuentes, cuyas referencias bibliográficas estarán debidamente
señaladas al final del documento. Este material, en ningún caso pretende asumir
como propia la autoría de las ideas plantea das. La información que se incorpora
tiene como única finalidad el apoyo para el desarrollo de los contenidos de la
unidad correspondiente, respetando los derechos de autor ligados a las ideas e
información seleccionada para los fines específicos de cada asignatura.

WWW.IPLACEX.CL 2
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Introducción
En el dinámico mundo de la computación en la nube, la Virtual Private Cloud (VPC)
emerge como un elemento fundamental para la gestión y seguridad de redes en
entornos AWS. Al permitir el aislamiento lógico de segmentos de red, la VPC ofrece
un control granular sobre la infraestructura, equiparable a la configuración de redes
on-premise.

Conceptos familiares como Tablas de Ruta, DHCP, Filtrado y Segmentación se

trasladan sin esfuerzo al entorno en la nube, brindando a los usuarios la familiaridad
y la flexibilidad necesarias para optimizar sus implementaciones.

Sin embargo, la seguridad no se ve comprometida, ya que el seguimiento

meticuloso de los paquetes de red se convierte en una actividad esencial para
proteger los entornos cloud de intrusiones no deseadas.

En este material de estudio exploraremos cómo estos elementos convergen para

crear entornos de red robustos y seguros en la nube de AWS.

WWW.IPLACEX.CL 3
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Ideas fuerza

• La VPC permite aislar un segmento de red de manera lógica en una

implementación de recursos AWS.

• Los mismos conceptos utilizados en la configuración de redes ON-

PREMISE son aplicados a las redes en la nube, tales como Tablas de Ruta,
DHCP, Filtrado, Segmentación, y seguimiento.

• El seguimiento de los paquetes de red es una actividad clave en cuanto

a la seguridad de intrusión de los ambientes Cloud.

WWW.IPLACEX.CL 4
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Índice
1. VPC en AWS y como se implementa .................................................................. 6
2. Por qué las subredes son claves en el diseño arquitectónico de la nube ........... 8
3. Uso de Tablas de Ruta (ROUTE TABLES) in AWS .......................................... 10
4. DHCP: Conceptos y uso en el entorno AWS VPC ............................................ 14
5. Monitoreo y seguridad en AWS VPC: VPC Flow Logs ...................................... 16
6. VPC Peering y Endpoints .................................................................................. 19
7. Seguridad y monitoreo: aspectos claves en una VPC ....................................... 21

WWW.IPLACEX.CL 5
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Desarrollo
1. VPC en AWS y como se implementa
Una nube privada virtual (VPC) en Amazon Web Services (AWS) es un entorno de
red virtual que se parece mucho a una infraestructura de red tradicional pero que
opera en la nube. Permite a los usuarios aprovisionar una sección lógicamente
aislada de la nube de AWS donde pueden lanzar recursos de AWS, como instancias
EC2, bases de datos RDS y funciones Lambda. VPC proporciona control sobre la
configuración de la red, incluidas direcciones IP, subredes, tablas de enrutamiento,
puertas de enlace de red y configuraciones de seguridad.

Figura 1: Vista unificada de VPC

Fuente: AWS

Componentes clave de una VPC:

• Subredes: las subredes son segmentos del rango de direcciones IP de una
VPC en los que los usuarios pueden colocar recursos de AWS. Ayudan a
organizar lógicamente los recursos y controlar el flujo de tráfico dentro de la
VPC.

• Puerta de enlace de Internet (IGW): una puerta de enlace de Internet

permite que los recursos dentro de la VPC se comuniquen con Internet y
viceversa. Permite que las instancias tengan direcciones IP públicas y
permite el acceso saliente a Internet.

WWW.IPLACEX.CL 6
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

• Tablas de rutas: las tablas de rutas definen las reglas para enrutar el tráfico
de red dentro de la VPC. Especifican a qué subredes se debe enrutar el
tráfico y pueden dirigir el tráfico a puertas de enlace de Internet, puertas de
enlace privadas virtuales (para conexiones VPN), puertas de enlace NAT o
conexiones de intercambio de tráfico VPC.

• Listas de control de acceso a la red (NACL): las NACL actúan como un

firewall a nivel de subred, controlando el tráfico entrante y saliente.
Proporcionan una capa adicional de seguridad al permitir o denegar el tráfico
según reglas definidas por el usuario.

• Grupos de seguridad: los grupos de seguridad actúan como un firewall a

nivel de instancia, controlando el tráfico entrante y saliente a instancias
individuales. Permiten a los usuarios especificar reglas que gobiernan el flujo
de tráfico en función de protocolos, puertos y direcciones IP.

Implementación de una VPC en AWS:

1) Cree una VPC: navegue hasta el panel de VPC en la Consola de
administración de AWS y haga clic en "Crear VPC". Especifique el rango de
direcciones IP (bloque CIDR) para la VPC y configure otras configuraciones
según sea necesario.

2) Crear subredes: después de crear la VPC, cree subredes dentro de la VPC

especificando los bloques CIDR y las zonas de disponibilidad. Las subredes
pueden ser públicas o privadas, dependiendo de si tienen acceso a Internet.

3) Configure la puerta de enlace de Internet: si desea que sus instancias

tengan acceso a Internet, cree una puerta de enlace de Internet y conéctela
a la VPC. Actualice la tabla de rutas asociada con las subredes públicas para
enrutar el tráfico a la puerta de enlace de Internet.

4) Configurar tablas de rutas: cree y configure tablas de rutas para que la VPC
defina cómo se debe enrutar el tráfico dentro de la VPC. Asocie las subredes
apropiadas con las tablas de rutas según su uso previsto (público o privado).

5) Configure listas de control de acceso a la red (NACL): opcionalmente,

configure NACL para controlar el tráfico a nivel de subred. Defina reglas
entrantes y salientes para permitir o denegar el tráfico según sus requisitos
de seguridad.

WWW.IPLACEX.CL 7
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

6) Configurar grupos de seguridad: configure grupos de seguridad para

controlar el tráfico a nivel de instancia. Especifique reglas de entrada y salida
para permitir o denegar el tráfico según protocolos, puertos y direcciones IP.

7) Lanzar recursos: finalmente, inicie recursos de AWS como instancias EC2,

bases de datos RDS o funciones Lambda dentro de la VPC. Especifique la
subred, el grupo de seguridad y otras configuraciones de red que desee
durante la creación de recursos.

Siguiendo estos pasos, los usuarios pueden implementar una VPC en AWS y crear
un entorno de red seguro y aislado para sus recursos en la nube. Las VPC brindan
control granular sobre la configuración y la seguridad de la red, lo que permite a los
usuarios personalizar su arquitectura de red para cumplir con sus requisitos
específicos.

ANTES DE CONTINUAR CON LA LECTURA, REFLEXIONEMOS…

Las VPC tienen su equivalente en las VLAN de las redes on-premise de los
sistemas informáticos.

¿Visualiza una diferencia clave de las VLAN con las VPC en términos
de seguridad?

2. Por qué las subredes son claves en el diseño arquitectónico de

la nube

Las subredes desempeñan un papel crucial en los entornos de computación en la

nube, especialmente dentro de las nubes privadas virtuales (VPC), como las
proporcionadas por Amazon Web Services (AWS). He aquí por qué las subredes
son importantes:

WWW.IPLACEX.CL 8
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

• Segmentación de red: las subredes permiten a los usuarios dividir un rango

de direcciones IP más amplio (bloque CIDR) en segmentos más pequeños y
manejables. Esta segmentación ayuda a organizar los recursos y aislar los
diferentes componentes de la red, mejorando la seguridad y el control.

• Aislamiento de recursos: al colocar recursos en diferentes subredes, los

usuarios pueden aislarlos entre sí. Este aislamiento ayuda a prevenir el
acceso no autorizado y limita el radio de explosión en caso de una violación
de seguridad o un problema de red.

• Control de enrutamiento: las subredes están asociadas con tablas de

enrutamiento que determinan cómo se enruta el tráfico dentro de la VPC. Al
configurar tablas de rutas, los usuarios pueden controlar el flujo de tráfico
entre subredes y especificar qué subredes tienen acceso a Internet u otros
recursos.

• Alta disponibilidad: las subredes se pueden distribuir en múltiples zonas de

disponibilidad (AZ) dentro de una región. Esto permite a los usuarios
implementar recursos en configuraciones redundantes para alta
disponibilidad y tolerancia a fallas. En caso de una falla de AZ, los recursos
de otras subredes no se ven afectados.

• Acceso público y privado: las subredes pueden designarse como públicas

o privadas según su acceso a Internet. Las subredes públicas tienen rutas a
una puerta de enlace de Internet (IGW) y permiten que las instancias tengan
direcciones IP públicas, lo que permite el acceso a Internet. Las subredes
privadas, por otro lado, no tienen acceso directo a Internet y normalmente se
utilizan para recursos internos que no deben estar expuestos a Internet.

• ACL de red y grupo de seguridad: las subredes funcionan junto con grupos
de seguridad y listas de control de acceso a la red (NACL) para controlar el
tráfico entrante y saliente. Los grupos de seguridad se aplican a nivel de
instancia y controlan el tráfico según reglas de seguridad, mientras que las
NACL se aplican a nivel de subred y proporcionan una capa adicional de
seguridad al filtrar el tráfico antes de que llegue a las instancias.

• Cumplimiento y gobernanza: las subredes permiten a los usuarios

implementar segmentación de red y controles de acceso de conformidad con
los requisitos reglamentarios y las políticas internas. Esto ayuda a garantizar
la privacidad, confidencialidad e integridad de los datos dentro del entorno de
la nube.

WWW.IPLACEX.CL 9
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

En resumen, las subredes son componentes esenciales de los entornos de

computación en la nube, ya que proporcionan segmentación de red, aislamiento de
recursos, control de enrutamiento, alta disponibilidad, seguridad y cumplimiento. Al
diseñar y configurar correctamente las subredes dentro de una VPC, los usuarios
pueden crear arquitecturas de nube escalables, resistentes y seguras para
respaldar sus aplicaciones y cargas de trabajo.

3. Uso de Tablas de Ruta (ROUTE TABLES) in AWS

En Amazon Web Services (AWS), una tabla de rutas es un componente de red
fundamental que se utiliza dentro de las nubes privadas virtuales (VPC) para
controlar el enrutamiento del tráfico de red entre subredes y hacia Internet. Las
tablas de rutas definen las reglas para dirigir el tráfico dentro de la VPC, lo que
permite a los usuarios especificar cómo se deben enrutar los paquetes en función
de sus direcciones IP de destino. A continuación, se ofrece una descripción general
de los conceptos y la implementación de tablas de rutas en AWS VPC:

Figura 2: Vista de tablas de ruta

Fuente: AWS
3.1. Conceptos:

a. Rutas:

Una ruta es una entrada en una tabla de rutas que especifica la red de destino o el
rango de direcciones IP y el destino para enrutar el tráfico a ese destino. Las rutas
pueden apuntar a varios objetivos, incluidas puertas de enlace de Internet (para
tráfico con destino a Internet), puertas de enlace privadas virtuales (para conexiones

WWW.IPLACEX.CL 10
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

VPN), puertas de enlace NAT (para tráfico de Internet saliente desde subredes
privadas), conexiones de intercambio de tráfico de VPC (para tráfico entre VPC) o
local (para tráfico dentro de la misma VPC).

b. Tabla de ruta principal:

Cada VPC viene con una tabla de rutas principal que se crea automáticamente y se
asocia con todas las subredes dentro de la VPC de forma predeterminada. La tabla
de rutas principal controla el enrutamiento del tráfico dentro de la VPC y entre las
VPC cuando se utiliza el emparejamiento de VPC.

c. Tablas de rutas personalizadas:

Los usuarios pueden crear tablas de rutas personalizadas y asociarlas con subredes
específicas dentro de la VPC.

Las tablas de rutas personalizadas permiten a los usuarios definir reglas de

enrutamiento personalizadas según sus requisitos y casos de uso específicos.

3.2. Implementación:

a. Crear una tabla de rutas personalizada:

Para crear una tabla de rutas personalizada, navegue hasta el panel de VPC en la
Consola de administración de AWS y seleccione "Tablas de rutas" en el panel de
navegación.

Haga clic en "Crear tabla de rutas" y especifique un nombre y la VPC con la que se
debe asociar la tabla de rutas.

b. Agregar rutas:

Una vez creada la tabla de rutas, haga clic en la pestaña "Rutas" y luego en "Editar
rutas" para agregar rutas.

Haga clic en "Agregar ruta" y especifique el bloque CIDR de destino y el objetivo

para enrutar el tráfico a ese destino.

WWW.IPLACEX.CL 11
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

c. Asociación de subredes:

Después de definir las rutas, asocie la tabla de rutas personalizada con las subredes
deseadas dentro de la VPC.

Seleccione la tabla de rutas de la lista y elija "Acciones" > "Editar asociaciones de

subred".

Seleccione las subredes deseadas y haga clic en "Guardar" para asociarlas con la
tabla de rutas personalizada.

d. Modificación de rutas:

Los usuarios pueden modificar rutas en una tabla de rutas personalizada según sea
necesario haciendo clic en la pestaña "Rutas" y luego en "Editar rutas".

Agregue, edite o elimine rutas según los cambios en los requisitos de la red o los
patrones de tráfico.

e. Ruta por defecto:

En la mayoría de los casos, se agrega una ruta predeterminada (0.0.0.0/0) que

apunta a una puerta de enlace de Internet para permitir el acceso saliente a Internet
en instancias en subredes públicas.

Ejemplo de tabla de ruta en AWS

Consideremos un ejemplo de una tabla de rutas personalizada en una VPC de AWS

para una implementación de aplicación web sencilla. En este escenario, tendremos
dos subredes: una subred pública para servidores web y una subred privada para
servidores de bases de datos. Configuraremos la tabla de rutas para enrutar el
tráfico en consecuencia:

Ejemplo de tabla de rutas:

Nombre de la tabla de rutas: WebAppRouteTable

VPC asociada: MyVPC (ID de VPC: vpc-12345678)

WWW.IPLACEX.CL 12
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Rutas:

Destino: 10.0.0.0/16 (bloque CIDR MyVPC)

Objetivo: local
Descripción: Ruta para el tráfico VPC local.

Destino: 0.0.0.0/0 (Internet)

Destino: Puerta de enlace de Internet (igw-xxxxxxxx)
Descripción: ruta predeterminada para el tráfico vinculado a Internet desde la subred
pública.

Asociaciones de subred:

ID de subred: subnet-12345678 (subred pública para servidores web)

ID de subred: subnet-87654321 (subred privada para servidores de bases de datos)
En este ejemplo, la tabla de rutas denominada "WebAppRouteTable" está asociada
con la VPC "MyVPC" y tiene dos rutas:

La primera ruta especifica el destino como el bloque CIDR completo de la VPC

(10.0.0.0/16) y tiene un destino "local". Esta ruta permite que el tráfico dentro de la
VPC se enrute localmente, sin necesidad de salir de la VPC.

La segunda ruta especifica el destino como "0.0.0.0/0" (que representa todo el

tráfico vinculado a Internet) y tiene como destino una puerta de enlace de Internet
(IGW). Esta es la ruta predeterminada para la subred pública (subred-12345678), lo
que permite que las instancias de la subred pública (por ejemplo, servidores web)
accedan a Internet.

La tabla de rutas está asociada a dos subredes:

La subred pública (subred-12345678), donde se implementan los servidores web,

que tiene acceso a Internet a través de la ruta predeterminada.
La subred privada (subred-87654321), donde se implementan los servidores de
bases de datos, que no tiene acceso directo a Internet.
Esta configuración garantiza que el tráfico se enrute adecuadamente dentro de la
VPC, lo que permite que los servidores web se comuniquen tanto con los recursos
internos como con Internet, mientras que los servidores de bases de datos
permanecen aislados del acceso directo a Internet para mejorar la seguridad.

WWW.IPLACEX.CL 13
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Elementos finales de tablas de ruta

Al aprovechar las tablas de rutas personalizadas, los usuarios pueden personalizar

el enrutamiento del tráfico de red dentro de su VPC para cumplir con requisitos
específicos, como dirigir el tráfico a puertas de enlace de Internet, puertas de enlace
privadas virtuales, puertas de enlace NAT, conexiones de intercambio de tráfico de
VPC u otros objetivos.

Las tablas de rutas brindan flexibilidad y control sobre los flujos de tráfico de la red,
lo que permite a los usuarios diseñar arquitecturas de red escalables y resistentes
en las VPC de AWS.

ANTES DE CONTINUAR CON LA LECTURA, REFLEXIONEMOS…

Internet hace uso intensivo de las tablas de ruta, especialmente con un

concepto llamado BPG ¿Qué son las BPG?

4. DHCP: Conceptos y uso en el entorno AWS VPC

En Amazon Web Services (AWS), el Protocolo de configuración dinámica de host

(DHCP) desempeña un papel fundamental en la asignación automática de
direcciones IP y otras configuraciones de red a instancias lanzadas dentro de una
nube privada virtual (VPC). A continuación, se ofrece una descripción general de los
conceptos y la implementación de DHCP en AWS VPC:

4.1. Conceptos:

a. Conjunto de opciones de DHCP:

Un conjunto de opciones de DHCP es una colección de ajustes de configuración de

DHCP que se aplican a instancias dentro de una VPC.

WWW.IPLACEX.CL 14
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Incluye configuraciones como el nombre de dominio, servidores de nombres de

dominio (DNS), servidores de nombres NetBIOS, tipo de nodo NetBIOS y más.

b. Servidor DHCP:

En AWS, el servidor DHCP es un servicio administrado proporcionado por AWS que

asigna automáticamente direcciones IP y opciones de DHCP a instancias lanzadas
dentro de una VPC.

El servidor DHCP asigna dinámicamente direcciones IP del rango de bloques CIDR

especificado asociado con la subred de la VPC.

4.2. Implementación:

a. Conjunto de opciones de DHCP:

Para configurar los ajustes de DHCP para instancias dentro de una VPC, los
usuarios pueden crear un conjunto de opciones de DHCP.

Navegue hasta el panel de VPC en la Consola de administración de AWS y

seleccione "Conjuntos de opciones de DHCP" en el panel de navegación.

Haga clic en "Crear conjunto de opciones de DHCP" y especifique los ajustes de

configuración de DHCP deseados, como el nombre de dominio, los servidores DNS
y las opciones de NetBIOS.

Una vez creada, asocie las opciones de DHCP configuradas con la VPC deseada.
Esto garantiza que las instancias lanzadas dentro de la VPC hereden la
configuración de DHCP especificada.

b. Asignación automática de dirección IP:

Cuando se lanza una instancia dentro de una VPC, automáticamente solicita una
dirección IP del servidor DHCP asociado con la subred de la VPC.

El servidor DHCP asigna una dirección IP disponible del rango de bloques CIDR de
la subred y la asigna a la instancia.

La dirección IP asignada, junto con otras opciones de DHCP especificadas en el

conjunto de opciones de DHCP, se configura en la interfaz de red de la instancia.

WWW.IPLACEX.CL 15
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

c. Direcciones IP elásticas (EIP):

Si bien DHCP asigna automáticamente direcciones IP privadas a las instancias, los

usuarios también pueden asignar direcciones IP elásticas (EIP) y asociarlas con
instancias para direcciones IP públicas estáticas.

Los EIP proporcionan una manera de garantizar que las instancias mantengan la
misma dirección IP pública incluso después de que se detengan y reinicien.

d. Opciones de DHCP personalizadas:

Además de las opciones de DHCP predeterminadas proporcionadas por AWS, los

usuarios pueden crear conjuntos de opciones de DHCP personalizados con ajustes
de configuración personalizados adaptados a sus requisitos específicos.

Los conjuntos de opciones de DHCP personalizados permiten a los usuarios definir

configuraciones de DHCP adicionales o anular la configuración predeterminada
proporcionada por AWS.

En resumen, DHCP en AWS VPC asigna automáticamente direcciones IP y

opciones de DHCP a instancias lanzadas dentro de una VPC, lo que simplifica la
configuración y administración de la red. Al crear conjuntos de opciones de DHCP
y asociarlos con VPC, los usuarios pueden definir y aplicar configuraciones de
DHCP personalizadas a las instancias, lo que garantiza una conectividad y
configuración de red perfectas en la nube.

5. Monitoreo y seguridad en AWS VPC: VPC Flow Logs

VPC Flow Logs es una característica proporcionada por Amazon Web Services
(AWS) que permite a los usuarios capturar información sobre el tráfico IP que fluye
dentro y fuera de su nube privada virtual (VPC). Proporciona visibilidad detallada de
los patrones de tráfico de la red, lo que permite a los usuarios monitorear y
solucionar problemas de conectividad, seguridad y cumplimiento de la red.

A continuación, se ofrece una descripción general de los registros de flujo de VPC

y cómo usarlos en AWS VPC:

5.1. Conceptos:

WWW.IPLACEX.CL 16
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

a. Registros de flujo:

Los registros de flujo de VPC capturan información sobre el tráfico IP que fluye
dentro de una VPC, incluido el tráfico hacia y desde instancias, Elastic Load
Balancers (ELB), gateways de Internet, gateways NAT y más.

Los registros de flujo proporcionan metadatos sobre cada flujo de red, incluidas
direcciones IP de origen y destino, puertos, protocolos, recuentos de paquetes y
bytes y marcas de tiempo.

Los registros de flujo se pueden crear a nivel de VPC, subred o interfaz de red, lo
que permite a los usuarios capturar tráfico en diferentes niveles de granularidad.

b. Destinos de registro:

Los registros de flujo se pueden configurar para transmitir datos de registros a varios
destinos, incluidos Amazon CloudWatch Logs, depósitos de Amazon S3 o ambos.

La transmisión de registros de flujo a CloudWatch Logs permite a los usuarios

realizar monitoreo, alertas y análisis en tiempo real del tráfico de red mediante
CloudWatch Metrics y Logs Insights.

La transmisión de registros de flujo a depósitos de S3 permite el almacenamiento,

el archivo y el análisis a largo plazo del tráfico de red mediante herramientas de
terceros o soluciones de análisis personalizadas.

5.2. Implementación:

a. Creación de registros de flujo:

Para crear registros de flujo, navegue hasta el panel de VPC en la consola de

administración de AWS y seleccione "Registros de flujo" en el panel de navegación.

Haga clic en "Crear registro de flujo" y especifique la VPC, subred o interfaz de red
para la que desea capturar el tráfico.

Elija el destino deseado para los registros de flujo (CloudWatch Logs, S3 o ambos)
y, opcionalmente, especifique un formato de registro y una función de IAM para los
permisos.

WWW.IPLACEX.CL 17
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

b. Visualización de registros de flujo:

Una vez que se crean los registros de flujo, los datos del registro comienzan a fluir
hacia los destinos especificados.

Para ver registros de flujo en CloudWatch Logs, navegue hasta el panel de

CloudWatch y seleccione "Registros" en el panel de navegación. Luego puede
buscar, filtrar y analizar datos de registro utilizando CloudWatch Metrics y Logs
Insights.

Para ver los registros de flujo en S3, navegue hasta el panel de S3 y seleccione el
depósito donde se almacenan los registros de flujo. Luego puede explorar,
descargar o analizar archivos de registro utilizando herramientas como Amazon
Athena o soluciones de análisis de terceros.

c. Análisis de registros de flujo:

Con los datos de Flow Logs disponibles en CloudWatch Logs o S3, los usuarios
pueden analizar patrones de tráfico de red, detectar anomalías, solucionar
problemas de conectividad y mejorar la seguridad y el monitoreo de cumplimiento.

Los usuarios pueden crear alarmas de CloudWatch para alertar sobre eventos de
red específicos, crear paneles personalizados para visualización o utilizar
herramientas de terceros para análisis y visualización avanzados.

Al aprovechar los registros de flujo de VPC, los usuarios obtienen información

valiosa sobre el tráfico de su red de AWS VPC, lo que les permite optimizar el
rendimiento, mejorar la seguridad y mantener el cumplimiento de las regulaciones
de la industria.

ANTES DE CONTINUAR CON LA LECTURA, REFLEXIONEMOS…

Los VPC Flow log permiten analizar y revisar el tráfico de red en una
VPC ¿Por qué esto es un elemento clave en seguridad?

WWW.IPLACEX.CL 18
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

6. VPC Peering y Endpoints

Comencemos con una descripción general del emparejamiento de VPC y los
puntos finales de VPC:

6.1. Interconexión de VPC:

Conceptos:

El emparejamiento de VPC permite la conexión de dos VPC dentro de la misma

región de AWS, lo que les permite comunicarse entre sí mediante direcciones IP
privadas. Es una forma de establecer una conexión de red directa entre VPC sin
necesidad de acceso a Internet ni de utilizar direcciones IP públicas.

Puntos clave:

El emparejamiento de VPC opera en la capa de red y permite que las instancias

de una VPC se comuniquen con instancias de otra VPC como si estuvieran en la
misma red.

Las VPC emparejadas pueden enrutar el tráfico entre sí utilizando sus direcciones
IP privadas y no requieren una conexión VPN, conexión directa o puerta de enlace
a Internet.

El intercambio de tráfico de VPC no es transitivo, lo que significa que si la VPC A

se conecta con la VPC B y la VPC B con la VPC C, no hay comunicación directa
entre la VPC A y la VPC C. Se requeriría una conexión de intercambio de tráfico
independiente entre la VPC A y la VPC C.

El emparejamiento de VPC se puede establecer entre VPC en la misma cuenta de

AWS o en diferentes cuentas de AWS, siempre que estén dentro de la misma
región de AWS.

Configuración:

Para configurar el intercambio de tráfico de VPC, los usuarios deben crear una
conexión de intercambio de tráfico entre las dos VPC, especificando los ID de VPC
de las VPC de origen y de destino.

Una vez creada la conexión de intercambio de tráfico, los usuarios deben aceptar
la solicitud de intercambio de tráfico en la VPC de destino.

WWW.IPLACEX.CL 19
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Una vez establecida y aceptada la conexión de intercambio de tráfico, los usuarios

pueden actualizar las tablas de rutas en cada VPC para enrutar el tráfico destinado
al bloque CIDR de la otra VPC a través de la conexión de intercambio de tráfico.

6.2. Puntos finales de la VPC:

Conceptos:

Los puntos de enlace de la VPC permiten que las instancias dentro de una VPC
accedan a servicios de AWS como S3, DynamoDB y otros sin requerir acceso a
Internet ni direcciones IP públicas.

Sirven como puntos de entrada para el tráfico destinado a los servicios de AWS,
evitando la necesidad de atravesar la Internet pública.

Puntos clave:

Los puntos de enlace de la VPC son dispositivos virtuales dentro de una VPC que
permiten la conectividad privada a los servicios de AWS.

Hay dos tipos de puntos de enlace de VPC: puntos de enlace de puerta de enlace
y puntos de enlace de interfaz.

Los puntos de enlace de puerta de enlace se utilizan para S3 y DynamoDB y

funcionan con dispositivos de puerta de enlace de VPC.

Los puntos finales de interfaz se utilizan para otros servicios de AWS, como SNS,
SQS y más, y funcionan con interfaces de red elástica (ENI).

Los puntos de enlace de VPC brindan una forma más segura y eficiente de acceder
a los servicios de AWS en comparación con los métodos de acceso basados en
Internet.

Se puede acceder a los puntos de enlace de la VPC desde instancias dentro de la

misma VPC o desde instancias en VPC emparejadas, siempre que estén
implementadas las configuraciones necesarias de enrutamiento y grupo de
seguridad.

WWW.IPLACEX.CL 20
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Configuración:

Para configurar puntos de enlace de la VPC, los usuarios deben crear un punto de
enlace para el servicio de AWS deseado dentro de su VPC.

Al crear un punto final, los usuarios especifican la VPC y el servicio para el cual se
crea el punto final.

Una vez creado el punto final, los usuarios deben actualizar las tablas de rutas en
su VPC para enrutar el tráfico destinado al punto final del servicio de AWS a través
del punto final apropiado.

En resumen, el emparejamiento de VPC permite la comunicación directa entre

VPC, mientras que los puntos de enlace de VPC brindan conectividad privada a
los servicios de AWS dentro de una VPC. Ambas características mejoran la
seguridad, el rendimiento y la flexibilidad de la red en entornos de AWS.

7. Seguridad y monitoreo: aspectos claves en una VPC

Al configurar una nube privada virtual (VPC) de Amazon Web Services (AWS), es
fundamental considerar varias medidas de seguridad para proteger sus recursos y
datos. A continuación, se presentan algunas consideraciones de seguridad clave
para una VPC de AWS:

1. Grupos de seguridad de red (NSG):

• Los NSG actúan como un firewall virtual para controlar el tráfico entrante y
saliente a instancias dentro de una VPC.
• Defina reglas de NSG basadas en protocolos IP, puertos y direcciones IP
de origen/destino para restringir el acceso a las instancias.
• Siga el principio de privilegio mínimo, permitiendo solo el tráfico necesario
para reducir la superficie de ataque.

2. Aislamiento de subred:

• Utilice subredes separadas para diferentes niveles de su aplicación (por

ejemplo, pública, privada, base de datos).
• Aísle recursos confidenciales en subredes privadas sin acceso directo a
Internet y restrinja el acceso mediante NSG y tablas de rutas.

WWW.IPLACEX.CL 21
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

3. Control de Acceso y Autenticación:

• Implemente políticas de IAM (Gestión de identidad y acceso) para controlar

el acceso a los recursos de AWS.
• Utilice roles de IAM para instancias EC2 para otorgar credenciales
temporales con permisos limitados.
• Utilice AWS Identity Federation para autenticación centralizada y control de
acceso basado en roles (RBAC) en múltiples cuentas de AWS.

4. Cifrado:

• Habilite el cifrado en reposo y en tránsito para proteger los datos

almacenados en los servicios de AWS (por ejemplo, S3, volúmenes de EBS,
bases de datos RDS).
• Utilice AWS Key Management Service (KMS) para administrar las claves de
cifrado de forma segura.

5. Monitoreo y registro:

• Habilite los registros de flujo de VPC para capturar información sobre el

tráfico entrante y saliente.
• Utilice CloudTrail para monitorear la actividad de API y realizar un
seguimiento de los cambios en su entorno de AWS.
• Configure CloudWatch Alarms para alertar sobre actividades de red
sospechosas o violaciones de seguridad.

6. Protección DDoS:

• Implemente AWS Shield para protegerse contra ataques de denegación de

servicio distribuido (DDoS).
• Utilice AWS WAF (Web Application Firewall) para filtrar y bloquear el tráfico
malicioso en la capa de aplicación.

7. Transferencia segura de datos:

• Utilice VPN (red privada virtual) o AWS Direct Connect para obtener una
conectividad segura entre las redes locales y las VPC de AWS.
• Considere la posibilidad de utilizar AWS PrivateLink para obtener
conectividad privada a los servicios de AWS sin tener que atravesar la
Internet pública.

WWW.IPLACEX.CL 22
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

8. Auditorías y evaluaciones periódicas de seguridad:

• Realice evaluaciones de seguridad periódicas, análisis de vulnerabilidades

y pruebas de penetración para identificar y remediar los riesgos de
seguridad.
• Utilice AWS Trusted Advisor y AWS Config para realizar controles continuos
de cumplimiento y monitoreo.

9. Recuperación y copia de seguridad ante desastres:

• Implemente estrategias de respaldo de datos y recuperación ante desastres

para proteger contra la pérdida de datos y las interrupciones del servicio.
• Utilice servicios de AWS como AWS Backup y AWS Disaster Recovery para
automatizar los procesos de copia de seguridad y recuperación.
• Al abordar estas consideraciones de seguridad, puede fortalecer la postura
de seguridad de su VPC de AWS y mitigar los posibles riesgos de seguridad
de manera efectiva. Es esencial adoptar un enfoque de seguridad en capas
y monitorear, auditar y actualizar continuamente sus medidas de seguridad
para adaptarse a las amenazas en evolución y los requisitos de
cumplimiento.

WWW.IPLACEX.CL 23
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Conclusión
El equivalente a la red VLAN de segmentación de los entornos ON-PREMISE en
AWS es la VPC, la virtual private cloud. Su uso permite aislar lógicamente los
ambientes de trabajo y además cuenta con servicios para monitoreo y seguridad.

Los aspectos de configuración de una VPC se asemejan mucho a los utilizados en

los entornos tradicionales de red: Uso de tablas de ruta, DHCP, segmentos, y
monitoreo de red.

WWW.IPLACEX.CL 24
ESCUELA DE INFORMÁTICA Y TELECOMUNICACIONES

Bibliografía
Sitio web: AWS Documentation (https://docs.aws.amazon.com/)

Sitio web: AWS Blogs (https://aws.amazon.com/blogs/)

Sitio web: AWS YouTube Channel

(https://www.youtube.com/user/AmazonWebServices)

Sitio web: AWS Whitepapers (https://aws.amazon.com/whitepapers/)

WWW.IPLACEX.CL 25