🥇 Seguridad en el uso de instancias de EC3.

Cuando se lanzan, las intancias de AWS tienen varios servicios y características que les permiten manejar la seguridad.

🍿 Direccionar una instancia

Hay diferentes formas en las que se puede direccionar una instancia desde la web:

Las IP privadas y los Interfaces de Red Elasticas (Elastic Network Interfaces ENIs) son métodos adicionales de direccionamiento de instancias que estan disponibles en el contexto de una VPC.

🍿 Acceso inicial a una instancia.

EC2 utiliza cartografia de llaves publicas para encriptar y desencriptar la información de authenticación. La cartografía de llaves publicas (public-key carthography) utiliza una llave publica para encriptar una piece de datos y una llave private para desencriptarlos. Estas dos llaves juntas son llamadas par de llaves (key pair). Los key pairs pueden se creados dentro de la consola de AWS, CLI, API o los propios usuarios pueden subirlas. La llave privada es esencial para obtener acceso a la instancia de EC2 durante la primera sesión.

Cuando EC2 inicializa una instancia, la llave pública es almacenada dentro de ~/.ssh/authorized_keys y el usuario inicial es generado. En la AMI de Amazon, el usuario inicial es ec2-user. El acceso inicial a la instancia es a traves de este usuario, la private key y SSH. Una ves iniciada la sesión es posible crear nuevos usuarios en un directorio como LDAP.

Cuando se inicia una intancia de Windows, EC2 genera un password aleatorio para el administrador local y encripta el password utilizando la llave publica. El acceso a la instancia es realizado desencriptando el password con la llave privada, ya sea mediante la consola o la API. El password desencriptado puede ser utilizado para iniciar sesion con la cuenta de administrador local vira RDP (Remote Desktop). En este punto es posible crear usuarios y conectarse al dominio de Active Directory.

🍿 Protección del Firewall Virtual.

AWS permite controlar el tráfico de entrada y salida de sus instancias a través de muros de fuego (firewalls) llamado security groups (grupos de seguridad). Estos permiten el control de tráfico basado en puertos, protocolos, y origen/destino. Los grupos de seguridad tienen diferentes capacidades dependiendo si se encuentran asociados con una VPC o una instancia de EC2.

Los security groups estan asociados a las instancias cuando se lanzan, cada instancia debe tener al menos un grupo de seguridad pero puede tener mas.

Un security group denega recursos por defecto (default deny), esto quiere decir que no permite el trafico si no es explicitamente permitido por una regla en dicho grupo. Cuando una instancia se asocia a multiples grupos, las reglas son agregadas y todo el trafico permitido por los grupos en conjunto es habilitado.

🥤 Atributos de un grupo de seguridad.

Elastic Compute Cloud (EC2). El ciclo de vida de las instancias.
comments powered by Disqus