Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Prácticas recomendadas Recomendamos las siguientes prácticas para migrar aplicaciones de la zona perimetral a la Nube de AWS: + Diseñe su arquitectura de destino para que sea compatible con firewalls de red de terceros, solo si puede exponer los firewalls a la red de VPC de la aplicación a través del equilibrador de carga de una puerta de enlace. + Utilice una red de confianza para proteger el flujo de tráfico entre la VPC de su AWS aplicación y su entorno local. Puede crear una red de confianza mediante [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) o [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html). + Utilice la arquitectura de destino para exponer las aplicaciones web a redes que no sean de confianza, pero evite utilizarla con una API. + Utilice [Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) durante la fase de pruebas. Esto se debe a que puede haber varios componentes interconectados que requieren la configuración y la verificación correctas. + Valide las reglas de entrada y salida necesarias para cada aplicación y su disponibilidad AWS Network Firewall durante la fase de diseño de la migración. + Si se requiere un servicio externo Servicio de AWS , como Amazon Simple Storage Service (Amazon S3) o Amazon DynamoDB, se recomienda exponer ese servicio a la VPC de la aplicación a través de puntos de enlace (dentro de la subred del punto final). Esto impide la comunicación a través de una red que no es de confianza. + Proporcione acceso a los recursos (Amazon EC2, en este caso) [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)para evitar el acceso SSH directo a los recursos. + El Equilibrador de carga de aplicación ofrece una alta disponibilidad a la aplicación y el enrutamiento de tráfico entrante y saliente mediante Network Firewall. No se requiere un equilibrador de carga independiente para la subred de seguridad. + Ten en cuenta que el Application Load Balancer es un balanceador de cargas orientado a Internet, aunque la subred del punto final no tenga acceso directo a Internet. No hay ninguna puerta de enlace de Internet en el diagrama **Punto de conexión A de la tabla de enrutamiento** y **Punto de conexión B de la tabla de enrutamiento** de la sección [Arquitectura de zona perimetral basada en Network Firewall](architecture.md#perimeter-zone-applications-network-firewall) de esta guía. La subred está protegida por Network Firewall y tiene acceso a Internet a través de Network Firewall. + Utilice Network Firewall para realizar un filtrado web entrante y saliente para el tráfico web no cifrado.