Conceptos clave del director de seguridad de red - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Referencias de resultados

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Conceptos clave del director de seguridad de red

nota

El director de seguridad de red AWS Shield está en versión preliminar y está sujeto a cambios.

Recursos

Los recursos informáticos, de red y de seguridad que gestionan el tráfico de las aplicaciones:

  • Informáticos: instancias de Amazon Elastic Compute Cloud

  • Redes: equilibradores de carga de aplicación, Amazon API Gateway, distribuciones de Amazon CloudFront, subredes de VPC e interfaces de red elásticas (ENI) de VPC

  • Seguridad: ACL web de AWS WAF, grupos de seguridad de VPC y listas de control de acceso a la red (NACL) de VPC

Resultados

Alertas sobre servicios de seguridad de red faltantes o mal configurados, con niveles de gravedad NULO, INFORMATIVO, BAJO, MEDIO, ALTO o CRÍTICO. El director de seguridad de red genera sus conclusiones mediante la evaluación de los ajustes de configuración y la inteligencia de amenazas de cada recurso.

Gravedad

Una medida de la vulnerabilidad de un recurso ante posibles eventos de seguridad, basada en las prácticas recomendadas de AWS y la inteligencia de amenazas. La evaluación de la gravedad tiene en cuenta tanto las posibles vulnerabilidades como las protecciones existentes. El nivel de gravedad de un recurso coincide con su resultado más grave o se muestra como nulo si no hay ningún resultado.

Topología de la red

Una representación visual de su red que muestra las conexiones de los recursos, la exposición a Internet y las relaciones basadas en etiquetas. Use la vista de topología para investigar los recursos y sus resultados.

Cómo entender los resultados de los directores de seguridad de red

nota

El director de seguridad de red AWS Shield está en versión preliminar y está sujeto a cambios.

El director de seguridad de red genera resultados específicos para cada tipo de recurso que analiza. Estos resultados lo ayudan a identificar los problemas de seguridad y a tomar las medidas adecuadas. La siguiente tabla enumera todos los resultados posibles por tipo de recurso.

resultados del director de seguridad de red por tipo de recurso
Tipo de recurso Descripción del resultado
Equilibrador de carga de aplicación

  • está detrás de una distribución de CloudFront, pero también está expuesto a Internet

  • le falta protección contra los bots

  • tiene actividad de DDoS

  • le falta la protección de firewall

  • tiene un firewall mal configurado

  • tiene un firewall no configurado

  • no está protegido contra las inundaciones de solicitudes

  • no está protegido contra las vulnerabilidades de la web
Amazon API Gateway

  • le falta protección contra los bots

  • le falta la protección de firewall

  • tiene un firewall mal configurado

  • tiene un firewall no configurado

  • no está protegido contra las inundaciones de solicitudes

  • no está protegido contra las vulnerabilidades de la web
Amazon CloudFront

  • le falta protección contra los bots

  • tiene actividad de DDoS

  • le falta la protección de firewall

  • tiene un firewall mal configurado

  • tiene un firewall no configurado

  • no está protegido contra las inundaciones de solicitudes

  • no está protegido contra las vulnerabilidades de la web
Instancia de Amazon Elastic Compute Cloud (EC2)

  • permite el acceso entrante desde todos los rangos de IP en todos los puertos

  • permite el acceso entrante desde todos los rangos de IP en el puerto del Protocolo de escritorio remoto (puerto 3389)

  • permite el acceso entrante desde todos los rangos de IP en el puerto SSH (puerto 22)

  • permite el acceso saliente a todos los rangos de IP en todos los puertos

  • está detrás de un equilibrador de carga de aplicación que no tiene protección de firewall

  • está detrás de un equilibrador de carga de aplicación que está detrás de una distribución de CloudFront, pero también está expuesto a Internet

  • está detrás de una distribución de CloudFront que no tiene protección de firewall

  • le falta protección contra los bots

  • no está protegido contra las inundaciones de solicitudes

  • está detrás de un firewall mal configurado

  • está detrás de un firewall no configurado

  • está detrás de un recurso que no está protegido contra las vulnerabilidades de la web
VPC security group (Grupo de seguridad de VPC)

  • permite el acceso entrante desde todos los rangos de IP en todos los puertos

  • permite el acceso entrante desde todos los rangos de IP en el puerto del Protocolo de escritorio remoto (puerto 3389)

  • permite el acceso entrante desde todos los rangos de IP en el puerto SSH (puerto 22)

  • permite el acceso saliente a todos los rangos de IP en todos los puertos
Lista de control de acceso a la red (NACL) de VPC

  • permite el acceso entrante desde todos los rangos de IP en todos los puertos

  • permite el acceso entrante desde todos los rangos de IP en el puerto del Protocolo de escritorio remoto (puerto 3389)

  • permite el acceso entrante desde todos los rangos de IP en el puerto SSH (puerto 22)

  • permite el acceso saliente a todos los rangos de IP en todos los puertos
ACL web de AWS WAF

  • tiene actividad de bots

  • le falta protección contra los bots

  • está mal configurado

  • no está adjunto a ningún recurso

  • no está configurado para protegerlo de las inundaciones de solicitudes

  • no tiene reglas

  • no está configurado para protegerse de las vulnerabilidades de la web