Ir a la página de inicio
Home / Apuntes de AWS (Fundamentos Prácticos) en español
Compartir en twitter

Aislamiento de instancias en AWS

Aislamiento de instancias en AWS

Características del aislamiento de las instancias

  • Las instancias de los clientes no tienen acceso a los discos físicos, sino a discos virtualizados.
  • La capa de virtualización reinicia cada bloque de almacenamiento utilizado por el cliente, de manera que nunca es expuesto a otro cliente.
  • La memoria es asignada al cliente, y reducida a cero por el monitor de la maquina virtual cuando es designada de un cliente. Y no regresa al estado “disponible” hasta que la memoria es vaciada por completo.

Otras Consideraciones

  • Los sistemas operativos en las instancias virtuales son completamente controlados por el cliente, quien tiene acceso root o administrativo sobre las cuentas, servicios y aplicaciones.
  • Amazon AWS provee una solución basada en firewall; el trafico de entrada es configurado por default en el modo deny-all, de manera que se tiene que especificar explícitamente que puertos se necesita abrir a trafico de entrada.

Sistemas Operativos

  • La encriptación de datos sensitivos es generalmente una buena práctica de seguridad.
  • AWS provee la habilidad de encriptar volúmenes EBS y sus snapshots mediante AES-256.
  • La encriptación ocurre en los servidores que almacenan las instancias de EC2, proporcionando encriptación de datos conforme se mueve entre instancias de EC2 y EBS.
  • Para realizar esto eficientemente y con baja latencia, la funcionalidad de encriptación en EBS solo esta disponible en las instancias de EC2 mas potentes (M3, C3, R3 y G2).

Elastic Load Balancer (ELB)

  • Es posible deshabilitar SSL en los Load Balancers.
  • Permite identificar los orígenes de las direcciones IP de un cliente que se esta conectando a un servidor.

Direct Connect

  • Permite utilizar los servicios mediante una ruta directa hacia la red local de una empresa. https://grow.google/certificates/- Utiliza el standard 802.1 q BLANS, la conexión dedicada puede particionarse en múltiples interfaces virtuales. Esto permite usar la misma conexión para acceder los recursos públicos como objetos almacenados en S3 utilizando una dirección IP pública, y recursos privados como EC2, instancias corriendo dentro de un Amazon VPC mientras se mantienen una separación de los ambientes públicos y privados.