AWS Security Speciality 05 Data Protection With VPCs en Español

by | Sep 10, 2020 | Blog, Cloud

VPC: Virtual datacenter in the cloud

  • Launch instances in subnets
  • Assign IPS
  • Configure routes
  • internet gateways
  • Compartmentalize igual
  • Dentro de los VPC puedes poner subnets
  • Los security groups estan ligados a cada VPC

Default VPCs tienen routes out para internet.
Security groups son stateful y NAC lists son stateless
Peers estan siempre en una star.  No hay transitive peering.

 

 

 

 

NAT instances vs NAT gateways

  • NAT instance son VM que puedes usar de las community AIMS. Las usas como rutas de salida. Deben de estar en un public subject. Están detrás de un security group.
  • NAT gateway es la nueva forma de AWS. Es highly available y managed por AWS. Necesitas una por availability zone para high availability.

NACLs

  • Default NACLs estan abiertas
  • Las que creas tu tienen todo en bloquear
  • NACLS pueden tener muchas subnets pero las subnets solo pueden tener una NACL.
  • Se evalúan en orden, mientras más chico el número más prioridad
  • Son stateless.
  • Se pueden bloquear IPs con NACLs pero no con Security groups.

TLS termination

  • Puedes usar el Elastic load balancer para desencriptar todo y mandarlo a tus instances en HTTP que es más barato y eficiente.
  • Pero si tienes algún requerimiento de usar end-to-end encryption no lo puedes hacer y tienes que usar tus EC2s para hacer esto.

VPC flow logs

  • Sirven para capturar información que va de y hacia tu VPC.
  • Se guardan en cloudwatch logs
  • Se pueden hacer en VPC level, subnet y NIC level.
  • Se pueden estremear a lambda y tomar acciones live de defensa.
  • Solo puedes activarlos en los VPCs que estan en tu account.

Session manager

  • Es un web based session manager
  • La forma más segura de administrar tus instances
  • Es la forma recomendada por Amazon
  • No tienes que abrir puertos
  • Puedes usar IAM
  • Cloudtrail puede logearlos incluyendo
  • Se puede ver el transcript de la session

Note: esto está muy bien para el curso.

VPC endpoint

Es para poner una internal gateway, asi no tienes que pasar por internet para ir a S3

Transit Gateway:

  • Highly available
  • Hub / Spoke
  • No internet
  • Puede ser inter-region