20 | 11 | 2020

¿Qué elementos de red se incluyen en AWS VPC?

En esta publicación, queremos traerle todos los componentes de red que forman parte de Amazon Web Services (AWS). Examinaremos más de cerca cada elemento, qué hace y cómo se adapta a la infraestructura general. Con suerte, responderá algunas de sus preguntas y, al comprenderlo mejor, se sentirá tentado a utilizar esos servicios.

Antes de entrar en todos los detalles, nos gustaría enfatizar que un buen diseño de red es la base para la infraestructura del centro de datos local. Lo mismo se aplica al entorno Cloud (post Las mejores prácticas de diseño de red de 10 para su infraestructura). También nos gustaría señalar que solo nos concentramos en el aspecto de redes y seguridad de AWS; cualquier otro servicio está fuera del alcance de este blog.

¿Qué es Amazon VPC?

Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual que haya definido. Esta red virtual se parece mucho a una red tradicional que operaría en su propio centro de datos, con los beneficios de utilizar la infraestructura escalable de AWS.

VPC: una red virtual dedicada a su cuenta de AWS, donde puede ejecutar varias redes, aislarlas entre sí para una mejor seguridad y cumplimiento. Conecte su centro de datos local y ejecute una solución de red híbrida. La solución totalmente escalable y ágil para mejorar sus operaciones comerciales.

¿Qué es la región de AWS?

AWS tiene un concepto de región, una ubicación física en todo el mundo donde agrupamos los centros de datos. Llamamos a cada grupo de Data Centers lógicos una Zona de Disponibilidad. Cada región de AWS consta de varias zonas de disponibilidad, aisladas y físicamente separadas dentro de un área geográfica. A diferencia de otros proveedores de la nube, que a menudo definen una región como un único centro de datos, el diseño de varias zonas de disponibilidad de cada región de AWS ofrece ventajas para los clientes. Cada AZ tiene energía, enfriamiento y seguridad física independientes conectados a través de redes redundantes de latencia ultrabaja. Los clientes de AWS centrados en la alta disponibilidad pueden diseñar sus aplicaciones para ejecutar varias AZ para lograr una tolerancia a fallas aún mayor. Infraestructura de AWS Las regiones cumplen con los niveles más altos de seguridad, cumplimiento y protección de datos.

AWS ofrece una presencia global más extensa que cualquier otro proveedor de nube. Para respaldar su presencia global y garantizar que los clientes reciban servicios en todo el mundo, AWS abre nuevas regiones rápidamente. AWS mantiene varias regiones geográficas, incluidas las regiones de Norteamérica, Sudamérica, Europa, China, Asia Pacífico, Sudáfrica y Oriente Medio.

Regiones mundiales de AWS

Zonas de disponibilidad

Una zona de disponibilidad (AZ) es un centro de datos discreto con energía, redes y conectividad redundantes en una región de AWS. Las AZ brindan a los clientes la capacidad de operar aplicaciones de producción y bases de datos que son más altamente disponibles, tolerantes a fallas y escalables de lo que sería posible desde un solo centro de datos. Todas las AZ en una región de AWS están interconectadas con redes de baja latencia y alto ancho de banda, a través de fibra metro dedicada, totalmente redundante, que proporciona una red de alto rendimiento y baja latencia entre las AZ. Todo el tráfico entre AZ está encriptado. El rendimiento de la red es suficiente para lograr la replicación sincrónica entre AZ. Las AZ hacen que las aplicaciones de particiones para alta disponibilidad sean fáciles. Si una aplicación está dividida en zonas de disponibilidad, las empresas estarán mejor aisladas y protegidas de problemas como cortes de energía, rayos, tornados, terremotos y más. Las AZ están físicamente separadas por una distancia significativa, muchos kilómetros, de cualquier otra AZ, aunque todas están a menos de 100 km (60 millas) entre sí.

Alta disponibilidad

A diferencia de otros proveedores de infraestructura tecnológica, cada región de AWS tiene varias zonas de disponibilidad. Como hemos aprendido al ejecutar la plataforma de tecnología de infraestructura de nube líder desde 2006, los clientes que se preocupan por la disponibilidad y el rendimiento de sus aplicaciones desean implementar estas aplicaciones en múltiples AZ en la misma región para tolerancia a fallas y baja latencia. Las AZ están conectadas con una red de fibra óptica privada y rápida, lo que le permite diseñar aplicaciones de manera eficiente que se conmutan automáticamente entre las AZ sin interrupción.

El plano de control de AWS (incluidas las API) y la Consola de administración de AWS se distribuyen en las regiones de AWS y utilizan una arquitectura de varias zonas de disponibilidad dentro de cada región para brindar resistencia y garantizar una disponibilidad continua. Esto asegura que los clientes eviten tener una dependencia crítica del servicio en un solo centro de datos. AWS puede realizar actividades de mantenimiento sin que ningún servicio vital deje de estar disponible temporalmente para ningún cliente.

Red / subredes

Conceptos básicos de la subred y la VPC

Una nube privada virtual (VPC) es una red virtual dedicada a su cuenta de AWS. Está lógicamente aislado de otras redes virtuales en la nube de AWS. Puede lanzar sus recursos de AWS, como instancias de Amazon EC2, en su VPC.

Cuando crea una VPC, debe especificar un rango de direcciones IPv4 para la VPC en forma de bloque de enrutamiento entre dominios sin clases (CIDR); por ejemplo, 10.0.0.0/16.

Segmentación de la red

Aunque tiene una red ./16 dentro de su VPC, ninguna necesita 65k más direcciones IP, ni siquiera FTSE 100 Global Enterprise Business. Al decir eso, es bueno tener más IP, ya que puede segmentarlas en subredes mucho más pequeñas: ./24, por ejemplo, lo que le da más de 250 IP. Esto es significativo y debe establecerse claramente desde el principio. Un buen diseño le ayudará a implementar los servicios que necesita y aislarlos; servidores web, aplicaciones, bases de datos y otros. Otro elemento esencial es no tener los mismos rangos de red en la nube y en la red local, ya que esto puede causar conflictos en el futuro.

Subredes privadas

Honestamente, no hay subredes públicas ni privadas. El término se utiliza para describir: subredes privadas; estas redes que están aisladas y no tienen acceso a Internet o acceso desde Internet no están permitidas a estas subredes / redes. Lo más probable es que su base de datos esté en esas redes y otros servicios seguros.

Subredes públicas

El tráfico está permitido y filtrado desde Internet a subredes / redes públicas. Los hosts dentro de esas redes tienen direcciones IP privadas y el acceso se puede enrutar a través de pasarelas de Internet e IP públicas asociadas (asignación de IP elástica)

¿Cómo entregamos redes de datos e infraestructura cibersegura? | Sistemas v500

Aislar redes

Para un control de acceso a la red adicional, puede ejecutar sus instancias de base de datos en una Amazon VPC. Amazon VPC le permite aislar sus instancias de base de datos especificando el rango de IP que desea utilizar y conectarse a su infraestructura de TI existente a través de IPsec VPN cifrada estándar de la industria. La ejecución de Amazon RDS en una VPC le permite tener una instancia de base de datos dentro de una subred privada. También puede configurar una puerta de enlace privada virtual que amplíe su red corporativa a su VPC y permita el acceso a la instancia de base de datos RDS en esa VPC.

Para las implementaciones Multi-AZ, definir una subred para todas las zonas de disponibilidad en una región permitirá a Amazon RDS crear una nueva reserva en otra zona de disponibilidad en caso de que surja la necesidad. Puede crear colecciones de subredes de grupos de subredes de base de datos que desee designar para sus instancias de base de datos RDS en una VPC. Cada grupo de subredes de base de datos debe tener al menos una subred para cada zona de disponibilidad en una región determinada. En este caso, cuando crea una instancia de base de datos en una VPC, selecciona un grupo de subredes de base de datos; Luego, Amazon RDS usa ese grupo de subredes de base de datos y su zona de disponibilidad preferida para seleccionar una subred y una dirección IP dentro de esa subred. Amazon RDS crea y asocia una interfaz de red elástica a su instancia de base de datos con esa dirección IP.

Se puede acceder a las instancias de base de datos implementadas dentro de una Amazon VPC desde Internet o desde las instancias Amazon EC2 fuera de la VPC a través de VPN o hosts bastión que puede iniciar en su subred pública. Para utilizar un host bastión, deberá configurar una subred pública con una instancia EC2 que actúe como bastión SSH. Esta subred pública debe tener una puerta de enlace de Internet y reglas de enrutamiento que permitan que el tráfico se dirija a través del host SSH, que luego debe reenviar las solicitudes a la dirección IP privada de su instancia de base de datos de Amazon RDS.

Los grupos de seguridad de base de datos se pueden utilizar para ayudar a proteger las instancias de base de datos dentro de una Amazon VPC. Además, el tráfico de red que entra y sale de cada subred se puede permitir o denegar a través de las ACL de red. Todo el tráfico de red que ingresa o sale de su Amazon VPC a través de su conexión VPN IPsec puede ser inspeccionado por su infraestructura de seguridad local, incluidos los firewalls de red y los sistemas de detección de intrusos.

Grupos de seguridad para su VPC

grupo de seguridad actúa como un firewall virtual para que su instancia controle el tráfico entrante y saliente. Cuando lanza una instancia en una VPC, puede asignar cinco grupos de seguridad a la instancia. Los grupos de seguridad actúan a nivel de instancia, no a nivel de subred. Por lo tanto, cada instancia de una subred de su VPC se puede asignar a un conjunto diferente de grupos de seguridad.

Si lanza una instancia utilizando la API de Amazon EC2 o una herramienta de línea de comandos y no especifica un grupo de seguridad, la instancia se asigna automáticamente al grupo de seguridad predeterminado para la VPC. Si lanza una instancia utilizando la consola de Amazon EC2, tiene la opción de crear un nuevo grupo de seguridad, por ejemplo.

Para cada grupo de seguridad, agrega reglas que controlan el tráfico entrante a las instancias y un conjunto separado de reglas que controlan el tráfico saliente. En esta sección, se describen las cosas básicas que necesita saber sobre los grupos de seguridad para su VPC y sus reglas.

Lista de control de acceso a la red (NACL)

Una lista de control de acceso a la red (NACL) es una capa de seguridad opcional para su VPC que actúa como un firewall para controlar el tráfico que entra y sale de una o más subredes. Puede configurar ACL de red con reglas similares a sus grupos de seguridad para agregar una capa de seguridad a su VPC.

NACL realiza algunos filtros entre redes. Sin embargo, recomendamos encarecidamente implementar un firewall de próxima generación, como Palo Alto, para realizar una inspección granular en todas las 7 capas dentro de su infraestructura de VPC, sin mencionar el tráfico de Internet.

Más sobre cortafuegos de próxima generación, puesto específico sobre este tema

Controlar el enrutamiento

Tabla de ruta - Se utiliza un conjunto de reglas, llamadas rutas, para determinar hacia dónde se dirige el tráfico de la red.

Le brinda una forma granular donde el tráfico puede ir o influir en el tráfico, muy útil en la segregación de redes privadas.

Puerta de enlace de Internet

Una puerta de enlace de Internet es un componente de VPC de escala horizontal, redundante y de alta disponibilidad que permite la comunicación entre su VPC e Internet.

Una puerta de enlace de Internet tiene dos propósitos: proporcionar un destino en sus tablas de rutas de VPC para el tráfico enrutable por Internet y realizar la traducción de direcciones de red (NAT) para las instancias a las que se les han asignado direcciones IPv4 públicas.
A diferencia de NAT Gateway, Internet Gateway permitirá el tráfico a sus instancias en VPC desde Internet.

Puertas de enlace de Internet solo de salida

Una puerta de enlace de Internet de solo salida es un componente de VPC de escala horizontal, redundante y de alta disponibilidad que permite la comunicación saliente a través de IPv6 desde instancias en su VPC a Internet. Evita que Internet inicie una conexión IPv6 con sus instancias.

Servicio continuo 99.999% para infraestructura de red

Puerta de enlace NAT

Puede utilizar una puerta de enlace de traducción de direcciones de red (NAT) para permitir que las instancias de una subred privada se conecten a Internet u otros servicios de AWS, pero evite que Internet inicie una conexión con esas instancias. En otras palabras, se denegará una sesión iniciada desde un host en Internet.
Esta función es beneficiosa si desea que los servidores -> instancias en una red segura / restringida obtengan actualizaciones de seguridad, parches y actualizaciones antivirus para obtener de Internet.
Si desea comprender más acerca de la NAT, lea nuestra publicación dedicada a este tema.

Dirección IP elástica

An Dirección IP elástica es una dirección IPv4 estática diseñada para la computación dinámica en la nube. Con una dirección IP elástica, puede enmascarar una instancia o falla del software reasignando rápidamente la dirección a otra instancia en su cuenta. Se asigna una dirección IP elástica a su cuenta de AWS y es suya hasta que la libere.

Una dirección IP elástica es una dirección IPv4 pública, a la que se puede acceder desde Internet. Si su instancia no tiene una dirección IPv4 pública, puede asociar una dirección IP elástica con su instancia para habilitar la comunicación con Internet. Por ejemplo, esto le permite conectarse a su instancia desde su computadora local.

Actualmente, AWS no admite direcciones IP elásticas para IPv6.

Conexiones VPN a su nube de AWS - VPC

VPN de sitio a sitio de AWS

Puede crear una conexión VPN IPsec entre su VPC y su red remota. Una puerta de enlace privada virtual o una puerta de enlace de tránsito proporciona dos puntos finales de VPN (túneles) para la conmutación por error automática en el lado de AWS de la conexión VPN de sitio a sitio. Tu configuras tu dispositivo de puerta de enlace del cliente en el lado remoto de la conexión VPN de sitio a sitio.

VPN cliente de AWS

AWS Client VPN es un servicio VPN administrado basado en el cliente que le permite acceder a sus recursos de AWS o su red local de forma segura. Con AWS Client VPN, puede configurar un punto de enlace al que los usuarios pueden conectarse para establecer una sesión segura de TLS VPN. Esto permite a los clientes acceder a recursos en AWS o en las instalaciones desde cualquier ubicación utilizando un cliente VPN basado en OpenVPN.

Centro de nube de VPN de AWS

Si tiene más de una red remota (por ejemplo, varias sucursales), puede crear varias conexiones VPN de sitio a sitio de AWS a través de su puerta de enlace privada virtual para permitir la comunicación entre estas redes.

software de dispositivo VPN de terceros

Puede crear una conexión VPN a su red remota mediante el uso de una instancia Amazon EC2 en su VPC que ejecuta un dispositivo VPN de software de terceros. AWS no proporciona ni mantiene dispositivos VPN de software de terceros; sin embargo, puede elegir entre una variedad de productos proporcionados por socios y comunidades de código abierto.

sistemas v500 | blog | aci: infraestructura centrada en aplicaciones

¿Listo para empezar?

Contáctenos para obtener más información sobre la infraestructura de la nube; podemos responder a todas sus preguntas.
Contáctenos >>>

 

Lea otras publicaciones nuestras relacionadas con los servicios en la nube.

El caso de la computación en la nube y las redes híbridas

Soluciones de redes en la nube

¿Cuáles son las formas de conectar la red local a AWS Cloud?

Network as a Service (NaaS), ¡ampliando sus opciones!

Las mejores prácticas de diseño de red de 10 para su infraestructura

ARTÍCULOS RELACIONADOS

08 | 09 | 2022

Cómo hacer que la revisión de documentos legales sea menos costosa

Los bufetes de abogados y los equipos legales corporativos a menudo subcontratan a proveedores externos para extraer datos de contratos de sus carteras de contratos para obtener información procesable.
04 | 07 | 2022

Automatización en la Plataforma Cloud

La inteligencia artificial tiene el potencial de aumentar significativamente la eficiencia de nuestras industrias al mismo tiempo que mejora el trabajo que los humanos pueden realizar. Cuando la IA se hace cargo de tareas mundanas o peligrosas, libera al trabajador humano para que sea CREATIVO
15 | 06 | 2022

¡Los bufetes de abogados se sientan en toneladas de datos no estructurados, sin darse cuenta de la mina de oro que poseen!

La investigación de Gartner predice que el volumen de datos en el mundo crecerá un 800 % en los próximos cinco años, y hasta el 80 % de esos datos estarán completamente desestructurados. Ahora existe una forma más inteligente de realizar esta tarea: leer y comprender.
15 | 05 | 2022

Automatización Inteligente para el Sector Financiero y Legal

Sabemos que al aprovechar la inteligencia artificial y el aprendizaje automático dentro de sus organizaciones, puede reducir una gran cantidad de tiempo y ahorrar dinero al mismo tiempo.