Seguridad de la infraestructura en Amazon CloudWatch - Amazon CloudWatch
Aislamiento de red

Seguridad de la infraestructura en Amazon CloudWatch

Como se trata de un servicio administrado, Amazon CloudWatch está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte Seguridad en la nube de AWS. Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte Protección de la infraestructura en Portal de seguridad de AWS Well‐Architected Framework.

Puede utilizar llamadas a la API publicadas de AWS para obtener acceso a CloudWatch a través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM principal. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Aislamiento de red

Una nube privada virtual (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de Amazon Web Services. Una subred es un rango de direcciones IP de una VPC. Puede implementar diversos recursos de AWS en las subredes de las VPC. Por ejemplo, puede implementar instancias de Amazon EC2, clústeres de EMR y tablas de DynamoDB en las subredes. Para obtener más información, consulte la Guía del usuario de Amazon VPC.

Para permitir que CloudWatch se comunique con los recursos en una VPC sin pasar por la Internet pública, utilice AWS PrivateLink. Para obtener más información, consulte Uso de CloudWatch, CloudWatch Synthetics y CloudWatch Network Monitoring con los puntos de conexión de VPC de tipo interfaz.

Una subred privada es una subred que no tiene una ruta predeterminada a la Internet pública. La implementación de un recurso de AWS en una subred privada no impide que Amazon CloudWatch recopile las métricas integradas del recurso.

Si necesita publicar métricas personalizadas desde un recurso de AWS en una subred privada, puede hacerlo con un servidor proxy. El servidor proxy reenvía esas solicitudes HTTPS a los puntos de enlace de la API pública para CloudWatch.