Una guía completa sobre Amazon VPC

¿Qué es Amazon VPC?

Amazon Virtual Private Cloud (VPC), es un servicio comercial de computación en la nube que permite a los usuarios crear una sección lógicamente aislada dentro de la nube AWS Cloud. Dentro de esta sección aislada, los usuarios pueden lanzar recursos de AWS en una red virtual autodefinida. Básicamente, permite a los usuarios crear recursos como instancias EC2, bases de datos y otros servicios de Amazon Web Services (AWS) dentro de una sección privada y aislada de la nube AWS Cloud.

AWS ofrece VPC como una solución para mejorar la seguridad en la nube. Gracias a este servicio, las organizaciones pueden implementar sus recursos en un espacio virtual accesible de forma controlada, añadiendo capas adicionales de protección.

Cada cuenta de Amazon creada después de 2013 incluye una VPC predeterminada preconfigurada. Esto permite a los usuarios lanzar instancias sin necesidad de realizar configuraciones iniciales.

• Un bloque CIDR IPv4 de tamaño /16 que proporciona hasta 65.536 direcciones IPv4.
• Una subred de tamaño /20 en cada zona de disponibilidad que ofrece 4.096 direcciones por subred.
• Un gateway de Internet conectado a la VPC.
• Un grupo de seguridad predeterminado y un NACL predeterminado.

Arquitectura y funcionamiento de las VPC

La arquitectura de la VPC consta de:

• Fundación y marco: La infraestructura principal de AWS Cloud sirve de base para Amazon VPC. Los recursos de nube de una organización requieren aislamiento y segmentación de red, que la VPC proporciona como marco.
• Subredes: Puede segregar sus recursos de forma lógica en Amazon VPC creando subredes. Cada subred tiene una función distinta. Por ejemplo, puede tener una subred para servidores web, otra para servidores de aplicaciones y una tercera para bases de datos.
• Control de acceso: Los grupos de seguridad y las listas de control de acceso a la red (NACL) se utilizan en Amazon VPC para gestionar el control de acceso. Actúan como puertas virtuales, controlando el flujo de tráfico de entrada y salida de subredes e instancias, basándose en reglas definidas.
• Herramientas y servicios: Amazon ofrece diversos componentes para la conectividad, como gateways de Internet (acceso público), gateways NAT (acceso saliente seguro), conexiones VPN (comunicación cifrada) y conexiones dedicadas (como AWS Direct Connect) para integrar infraestructuras locales (on-premise). Por ejemplo, puede utilizar un gateway de Internet para configurar el acceso a Internet con la VPC, permitiendo que los recursos dentro de su VPC se conecten a Internet de forma privada o intercambien datos.
• Seguridad y monitoreo: Los firewalls de red, el cifrado, las herramientas de monitoreo y las funciones de registro son algunas de las funciones de seguridad de Amazon VPC que protegen su entorno virtual de accesos no autorizados y actividades maliciosas.
• Ampliación y renovación: Puede escalar y modificar la infraestructura de red con Amazon VPC según sea necesario para adaptar las políticas de seguridad, integrar nuevos servicios de AWS y añadir o eliminar subredes con facilidad para satisfacer las necesidades empresariales en constante evolución.

Antes de profundizar en su funcionamiento, entendamos los conceptos clave necesarios para que Amazon VPC funcione correctamente.

VPC predeterminada

Cada región tiene una VPC predeterminada establecida cuando se registra una cuenta de AWS. Con este entorno listo para usar, puede empezar a implementar instancias inmediatamente. Amazon Elastic Compute Cloud (EC2) es el Amazon Web Services que se utiliza para crear y ejecutar equipos virtuales en la nube. Cada instancia EC2 que implementa en la VPC predeterminada tiene una dirección IP privada y pública, lo que facilita la comunicación entre las instancias e Internet con la ayuda de la infraestructura de AWS.

Generación de VPC adicionales

Puede dividir su red en diferentes segmentos creando más VPC. Por ejemplo, puede mantener distintas VPC para entornos de desarrollo y producción. El aislamiento y la seguridad de sus diferentes entornos están garantizados por la total independencia de estas VPC adicionales de cualquier otra VPC de su red.

Se lanza una nueva VPC con un rango de direcciones IP, router, NACL, grupos de seguridad predeterminados y tabla de rutas propia. Además, puede aumentar el número de subredes, grupos de seguridad, ACL de red, etc. en función de las necesidades de su proyecto.

Mientras que la VPC predeterminada es genial para lanzar nuevas instancias, las políticas IAM no se aplican a ella. La creación de una VPC permite a los usuarios definir y personalizar su red virtual para que cumpla las políticas de IAM de la organización, lo que la hace más segura y fiable.

Configurar la subred

Las subredes son un rango de direcciones IP en la VPC. Puede establecer una o más subredes dentro de su VPC. No se permite que las subredes naveguen por las zonas de disponibilidad; todas deben residir completamente dentro de una zona de disponibilidad. Las subredes pueden definirse para diversos usos. Por ejemplo, subredes privadas para recursos que no deben estar directamente disponibles desde Internet y subredes de cara al público para recursos accesibles desde Internet.

Definición de tablas de rutas

Las tablas de rutas son la columna vertebral del flujo de tráfico de la red. Son una recopilación de reglas, o rutas, que especifican la dirección en la que debe enviarse el tráfico de red. Es necesario conectar una tabla de rutas, que gestiona el enrutamiento de la subred, a cada subred de su VPC. Aunque puede vincular más de una subred a una única tabla de rutas, cada subred solo puede tener una tabla de rutas conectada a la vez.

Gateway de Internet

Un elemento esencial que proporciona al tráfico de red, una ruta entre su Amazon VPC e Internet es el gateway de Internet. Es un componente gestionado por AWS diseñado para estar altamente disponible y ser escalable, garantizando la fiabilidad y el rendimiento.

El gateway de Internet desempeña dos roles fundamentales. En primer lugar, sirve como ruta a través de la cual su VPC puede comunicarse con Internet. En segundo lugar, realiza la traducción de direcciones de red (NAT) para las instancias a las que se han asignado direcciones IPv4 públicas.

El gateway de Internet es esencial en dos sentidos:

• Actúa como conducto de comunicación entre su VPC e Internet.
• Gestiona NAT para instancias que tienen asignadas direcciones IPv4 públicas.

Se debe conectar un gateway de Internet a su VPC para permitir el acceso a Internet dentro de ella. Además, debe asegurarse de que las instancias tienen direcciones IP enrutadas públicamente (IP públicas o elásticas) y cambiar la tabla de rutas de su subred para dirigir el tráfico al gateway de Internet.

Conexión VPN

La comunicación segura por Internet entre su red on-premises y su red privada virtual (VPN) es posible gracias a una conexión VPN. Al ampliar de forma segura su infraestructura de red actual a la nube de AWS, puede integrar de manera eficiente los recursos y aplicaciones alojados en AWS con los de su centro de datos u oficina on-premises.

Peering de VPC

El peering de VPC es una conexión de red que le permite enrutar tráfico de forma privada entre dos VPC, ya sea dentro de la misma región o a través de regiones de AWS separadas. Las instancias Peer VPC pueden comunicarse entre sí de la misma forma que lo harían si estuvieran en la misma red.

Las conexiones peering transitivas no son compatibles con el peering VPC. Supongamos que existe una conexión de peering de VPC entre la VPC A y la VPC B, así como entre la VPC A y la VPC C. Pero no se puede enrutar el tráfico de la VPC B a la VPC C a través de la VPC A. Es necesario establecer una conexión de peering de VPC entre la VPC B y la VPC C para transportar el tráfico entre ellas.

Consulte la figura 1 que se muestra a continuación, en la que se ilustra cómo interactúan los componentes mencionados anteriormente.

• Esta VPC es totalmente autónoma y aislada. Se trata de una restricción lógica que establece un límite compartido de red y seguridad para sus aplicaciones y servicios.
• Las instancias solo podrán comunicarse entre sí dentro de la VPC. Usted tiene el control total sobre cómo las instancias acceden a los recursos fuera de las VPC.
• En este caso, se asigna una dirección IP pública a la instancia y se adjunta un gateway de Internet a la VPC para proporcionar conectividad a Internet.
• La subred pública siempre tendrá una ruta para salir a Internet. Aquí, por ejemplo, puede poner servidores que alojen páginas web de cara al público.
• En el otro lado, la subred privada no tiene la ruta. Por ejemplo, puede colocar aquí sus bases de datos críticas. Esto proporcionará una capa adicional de protección frente al mundo exterior.
• También puede conectar la VPC a nuestro propio centro de datos corporativo mediante la conexión VPN de sitio a sitio, convirtiendo la nube de AWS en una extensión de su centro de datos.
• Debe establecerse una conexión de peering de VPC para enrutar el tráfico discretamente entre dos VPC y permitir que las instancias de cualquiera de las VPC se comuniquen entre sí como si estuvieran en la misma red.
• Dado que cada VPC abarca una única zona, podemos estar seguros de que todas las instancias que la componen se encuentran físicamente allí y de que no existe ninguna conexión fuera de la región entre ellas.

Sin embargo, ¿se pregunta cómo llega la subred privada a Internet sin la ruta?

En estas situaciones, se añade una ruta desde su instancia privada a un gateway NAT que se ha establecido en la subred pública. A continuación, añadimos un gateway NAT al gateway de Internet. Los recursos de la subred privada ya pueden acceder a Internet (véase la Figura 2).

Las dos formas en que puede controlar el flujo de tráfico son las siguientes:

• NACLs: Los firewalls sin estado que regulan el tráfico a nivel de subred se denominan NACL. Son opcionales, pero las NACL son útiles para crear reglas que permitan o denieguen la comunicación hacia y desde subredes dentro de su VPC. Estas reglas solo se pueden utilizar con direcciones IP para permitir o denegar la dirección IP.
• Grupo de seguridad: Los grupos de seguridad gestionan el tráfico de una o varias instancias funcionando como un firewall virtual. Las reglas que permiten el tráfico (solo permiten) hacia y desde las instancias pueden definirse en función de parámetros como el protocolo, el puerto y las direcciones IP de origen y destino.

Ventajas de utilizar Amazon VPC:

• Mayor seguridad gracias al aislamiento: Los usuarios pueden crear varias redes virtuales con Amazon VPC y cada una está separada de las demás. Los recursos de una VPC están protegidos de la comunicación directa con los recursos de otra VPC debido a este aislamiento, a menos que se permita específicamente hacerlo.
• Cumpla los requisitos empresariales mediante configuraciones personalizadas: Los usuarios tienen control total sobre el rango de direcciones IP, subredes, tablas de rutas y gateways de red dentro de su VPC. Esto permite crear configuraciones de red únicas para satisfacer determinadas necesidades.
• Controles de acceso efectivo mediante fucniones de seguridad: Para regular el tráfico entrante y saliente hacia y desde las instancias, VPC ofrece funciones de seguridad que incluyen grupos de seguridad y listas de control de acceso a la red (ACL). Esto facilita a la VPC la aplicación de políticas de seguridad y controles de acceso.
• Opciones de conectividad: Existen múltiples formas de vincular una Amazon VPC a Internet, a centros de datos on-premises o a otras VPC. Estas opciones incluyen: AWS Direct Connect, conexiones VPN, gateways de Internet y gateways privados virtuales.
• Rendimiento mejorado con la segmentación de redes: Los usuarios pueden dividir su VPC en subredes, cada una de las cuales reside en una zona de disponibilidad específica dentro de una región de AWS específica. La segmentación de redes permite mejorar la tolerancia a fallos, la escalabilidad y la gestión de recursos.
• Rentabilidad: Al pagar únicamente por los recursos que utiliza, la VPC le permite optimizar los costos. También puede consolidar su infraestructura de red con la VPC, lo que elimina la necesidad de hardware de red independiente y agiliza la gestión.

¿Qué tipo de organizaciones necesitan Amazon VPC?

Muchos tipos diferentes de organizaciones pueden beneficiarse de Amazon VPC, pero aquellas con requisitos de red complejos o estrictos requisitos de seguridad y cumplimiento son las que más pueden ganar. El uso de Amazon VPC puede resultar ventajoso para los siguientes tipos de organizaciones:

• Empresas: Con Amazon VPC, las grandes empresas con diversas necesidades de infraestructura de TI pueden crear redes escalables y seguras para sus servicios y aplicaciones. La VPC puede gestionar las distintas necesidades de red que tienen las empresas, incluidos los centros de datos múltiples, las configuraciones de nube híbrida y los requisitos normativos.
• Startups y pequeñas empresas: Amazon VPC es ventajoso incluso para organizaciones pequeñas y startups, especialmente si prevén un crecimiento rápido o tienen necesidades específicas de seguridad y cumplimiento. Pueden crear redes seguras y escalables con VPC sin tener que realizar una costosa inversión inicial en infraestructura física.
• Empresas de comercio electrónico: Amazon VPC ayuda a las empresas de comercio electrónico que dependen de AWS para alojar sus tiendas online a garantizar tanto la fiabilidad como la seguridad de sus aplicaciones de comercio electrónico. La VPC les permite aislar su infraestructura de comercio electrónico de otras partes de su entorno de TI y aplicar medidas de seguridad avanzadas para proteger los datos de los clientes.
• Instituciones financieras: La naturaleza sensible de los datos financieros significa que las instituciones financieras, como bancos, compañías de seguros y empresas de inversión, deben adherirse a estrictas normas de seguridad y cumplimiento. Sus aplicaciones y servicios financieros pueden alojarse en redes altamente seguras y conformes con la normativa, a través de la Amazon VPC. Para obtener más información sobre cómo Amazon VPC puede ayudar a mejorar la postura de seguridad del sector financiero, consulte esta página.
• Organizaciones del sector de la salud: Las instituciones del sector de la salud que manejan información confidencial deben cumplir la HIPAA y otros requisitos. Amazon VPC proporciona los controles de seguridad y las funciones de cumplimiento necesarios para crear entornos conformes con la HIPAA para alojar sistemas de registro médico electrónico (EHR) y aplicaciones del sector de la salud. Para obtener más información sobre cómo Amazon VPC puede ayudar a mejorar la seguridad del sector de la salud, consulte esta página.
• Agencias gubernamentales: Con Amazon VPC, las agencias gubernamentales y las organizaciones del sector público pueden crear entornos seguros y conformes para alojar aplicaciones y servicios, incluso ante las estrictas normativas de seguridad y cumplimiento. Con la VPC, pueden aprovechar la escalabilidad y flexibilidad de la nube de AWS sin dejar de cumplir los estándares reglamentarios.
• Empresas de medios de comunicación y entretenimiento: Con Amazon VPC, las organizaciones de medios de comunicación y entretenimiento pueden crear redes escalables y resistentes para la distribución de contenido, incluidos servicios de streaming, redes de distribución de contenido (CDN) y plataformas de medios digitales. Pueden garantizar un gran rendimiento y disponibilidad para su infraestructura de distribución de medios a través de VPC.
• Sector educativo: Para almacenar y administrar de forma segura los datos confidenciales de los estudiantes y los recursos académicos en un entorno privado y aislado, así como para cumplir las reglas de seguridad de datos, el sector educativo necesita Amazon VPC. Ofrece una infraestructura escalable que facilita el acceso y el rendimiento sin inconvenientes de las plataformas de aprendizaje en línea y las aplicaciones educativas. Además, mejora la seguridad al permitir a las instituciones controlar las configuraciones de red, incluido el flujo de tráfico y los permisos de acceso, protegiéndolas contra las amenazas informáticas. Para obtener más información sobre cómo Amazon VPC puede ayudar a mejorar la postura de seguridad del sector educativo, consulte esta página.

Casos de uso de Amazon VPC

Consideremos el caso de uso de una empresa de desarrollo de software que debe mantener estrictas restricciones de acceso y aislamiento de red mientras aloja de forma segura su infraestructura de bases de datos y aplicaciones web en la nube. Esta empresa desea migrar su infraestructura a la nube. Quieren un sistema que ofrezca alta seguridad, escalabilidad y flexibilidad porque tienen datos sensibles de clientes que deben protegerse.

La empresa de desarrollo de software decide utilizar Amazon VPC para alojar su aplicación web y su infraestructura de base de datos de forma segura en la AWS Cloud. Estos son los casos de uso que pueden atender:

• Aislamiento de red: Se crea una nueva VPC con subredes privadas y públicas. Para comunicarse con Internet, los servidores web se colocan en subredes públicas y, para mayor protección, los servidores de bases de datos se colocan en subredes privadas.
• Grupos de seguridad y ACL de red: El grupo de seguridad se establece para gestionar el tráfico entrante y saliente a sus instancias EC2. Por ejemplo, se prohíbe el acceso directo a los servidores de bases de datos, pero se permite el tráfico HTTP/HTTPS a los servidores web desde Internet. Para proporcionar aún más seguridad, se establecen ACL de red para regular el tráfico a nivel de subred.
• Alojamiento de bases de datos: Seleccionan Amazon RDS para MySQL como infraestructura de base de datos porque les simplifica el ajuste, el escalamiento y el mantenimiento de una base de datos relacional en la nube. También se establecen grupos de seguridad, de modo que solo se permita el acceso a los servidores web, e instalan su instancia RDS dentro de la subred privada.
• Conectividad VPN: Para enlazar de forma segura la red de la oficina con los recursos de la nube, se establece una conexión VPN entre la red on-premises y la VPC. Esto hace posible que su equipo de desarrollo utilice los recursos de la VPC de forma segura.
• Monitoreo y registro: Amazon CloudWatch está habilitado para monitorear sus bases de datos RDS, instancias EC2 y otros recursos de VPC. Los VPC Flow Logs también están habilitados para recopilar información sobre el tráfico IP que va hacia y desde las interfaces de red en su VPC para el análisis de seguridad y la solución de problemas.
• Copias de seguridad y recuperación: Las instantáneas y copias de seguridad automáticas de Amazon RDS se utilizan para configurar copias de seguridad automatizadas para sus bases de datos RDS, garantizando la durabilidad y recuperación de los datos.

La empresa de desarrollo de software traslada con éxito su arquitectura de bases de datos y aplicaciones web a la nube, a la vez que mantiene estrictos estándares de seguridad y cumplimiento mediante la utilización de Amazon VPC. Gracias a la flexibilidad y escalabilidad de los servicios de AWS, pueden concentrarse en crear y perfeccionar su software en lugar de preocuparse por el mantenimiento de la infraestructura.

Importancia de proteger y monitorear Amazon VPC

La seguridad es la razón principal para utilizar Amazon VPC. VPC es una división aislada de la nube pública de AWS que permite implementar recursos de AWS de forma segura. Al igual que muchas opciones de AWS, Amazon VPC también le ayuda a reducir los costos asociados a una nube privada. VPC es una de las herramientas que debe aprender de inmediato si desea comenzar a utilizar AWS para su negocio. Aunque el uso de Amazon VPC ofrece mayor seguridad que las redes tradicionales, sigue siendo necesario monitorearlo y protegerlo. Numerosos atacantes cibernéticos tienen como objetivo Amazon VPC.

Una VPC no segura puede ser objeto de amenazas informáticas. El monitoreo de Amazon VPC le permite identificar y resolver problemas de forma proactiva, optimizar el uso de los recursos y garantizar el cumplimiento con los estándares de seguridad y normativos. He aquí otras razones por las que mantener la seguridad de la VPC es fundamental para reforzar su infraestructura de red:

• Mejora del rendimiento: El monitoreo de los componentes esenciales de su Amazon VPC le permite obtener información sobre el rendimiento de su infraestructura de red, identificar y abordar cualquier problema en una fase temprana y optimizar la utilización de los recursos para mejorar el rendimiento. Los componentes que deben monitorearse incluyen el tráfico de red, los balanceadores de carga, el gateway NAT, los logs de flujo VPN, el rendimiento de la conexión VPN y el rendimiento de la subred.
• Utilización de recursos: El control del uso de recursos dentro de la VPC, incluidas las instancias de EC2, las bases de datos y otros servicios, ayuda a optimizar la asignación de recursos y a identificar oportunidades de ahorro de costos.
• Seguridad y cumplimiento: La identificación de posibles brechas de seguridad, intentos de acceso no autorizados o actividades inusuales mediante el monitoreo del tráfico de red y los patrones de acceso son necesarios para mantener la seguridad y el cumplimiento de su infraestructura.
• Resolución de problemas: Monitorear la velocidad de transferencia de la red, la latencia y las tasas de error le ayudará a solucionar rápidamente los problemas y resolverlos antes de que afecten al rendimiento o la disponibilidad de sus aplicaciones.
• Gestión de costos: La identificación de los recursos no utilizados mediante la obtención de visibilidad sobre el uso de los recursos le ayudará a optimizar la infraestructura para reducir los gastos no deseados dentro de la VPC.

Para obtener más información sobre la necesidad de monitorear y proteger Amazon VPC, consulte esta página.