Seguridad de infraestructuras en Elastic Load Balancing
Como se trata de un servicio administrado, Elastic Load Balancing está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y sobre cómo AWS protege la infraestructura, consulte Seguridad en la nube de AWS
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Elastic Load Balancing a través de la red. Los clientes deben admitir lo siguiente:
-
Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
-
Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Aislamiento de red
Una Virtual Private Cloud (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de AWS. Una subred es un rango de direcciones IP de una VPC. Al crear un equilibrador de carga, puede especificar una o varias subredes para los nodos del equilibrador de carga. Puede implementar instancias EC2 en las subredes de su VPC y registrarlas con el equilibrador de carga. Para obtener más información sobre la VPC y subredes en la Guía del usuario de Amazon VPC.
Cuando crea un equilibrador de carga en una VPC, puede estar orientado a Internet o ser interno. Un equilibrador de carga interno solo puede direccionar las solicitudes que proceden de los clientes que tienen acceso a la VPC para el equilibrador de carga.
El equilibrador de carga envía solicitudes a sus destinos registrados mediante direcciones IP privadas. Por lo tanto, los destinos no necesitan direcciones IP públicas para recibir solicitudes de un equilibrador de carga.
Para llamar a la API de Elastic Load Balancing desde la VPC mediante direcciones IP privadas, use AWS PrivateLink. Para obtener más información, consulte Acceder a Elastic Load Balancing mediante un punto de conexión de interfaz (AWS PrivateLink).
Control del tráfico de red
Tenga en cuenta las siguientes opciones para proteger el tráfico de red cuando utilice un equilibrador de carga:
-
Utilice oyentes seguros para respaldar la comunicación cifrada entre los clientes y sus equilibradores de carga. Oyentes HTTPS para Equilibrador de carga de aplicación Oyentes TLS para Equilibradores de carga de red Los Equilibradores de carga clásicos son compatibles con los oyentes HTTPS y TLS. Puede elegir entre políticas de seguridad predefinidas para el equilibrador de carga con el fin de especificar los conjuntos de cifrado y las versiones de protocolo compatibles con la aplicación. Puede utilizar AWS Certificate Manager (ACM) o AWS Identity and Access Management (IAM) para administrar los certificados de servidor instalados en el equilibrador de carga. Puede utilizar el protocolo de indicación de nombre de servidor (SNI) para servir a varios sitios web seguros mediante un único oyente seguro. SNI se habilita automáticamente para el equilibrador de carga cuando asocia más de un certificado de servidor a un oyente seguro.
-
Configure los grupos de seguridad para sus equilibradores de carga de aplicaciones y Equilibradores de carga clásicos con el fin de aceptar tráfico solo de clientes específicos. Estos grupos de seguridad deben permitir el tráfico entrante de los clientes en los puertos de escucha y el tráfico saliente a los clientes.
-
Configure los grupos de seguridad para que las instancias de Amazon EC2 acepten tráfico solo del equilibrador de carga. Estos grupos de seguridad deben permitir el tráfico entrante desde el equilibrador de carga en los puertos de oyente y en los puertos de comprobación de estado.
-
Configure su Equilibrador de carga de aplicación para autenticar a los usuarios de forma segura a través de un proveedor de identidades o mediante identidades corporativas. Para obtener más información, consulte Autenticar usuarios mediante un Equilibrador de carga de aplicación.
-
Use AWS WAF con su Equilibrador de carga de aplicación para permitir o bloquear las solicitudes en función de las reglas de una lista de control de acceso web (ACL web).
