Ir a la p谩gina de inicio
Home / Apuntes de AWS (Fundamentos Pr谩cticos) en espa帽ol
Compartir en twitter

馃敟 AISLAMIENTO DE INSTANCIAS EN AWS

Aislamiento de instancias en AWS

Caracter铆sticas del aislamiento de las instancias

  • Las instancias de los clientes no tienen acceso a los discos f铆sicos, sino a discos virtualizados.
  • La capa de virtualizaci贸n reinicia cada bloque de almacenamiento utilizado por el cliente, de manera que nunca es expuesto a otro cliente.
  • La memoria es asignada al cliente, y reducida a cero por el monitor de la maquina virtual cuando es designada de un cliente. Y no regresa al estado “disponible” hasta que la memoria es vaciada por completo.

Otras Consideraciones

  • Los sistemas operativos en las instancias virtuales son completamente controlados por el cliente, quien tiene acceso root o administrativo sobre las cuentas, servicios y aplicaciones.
  • Amazon AWS provee una soluci贸n basada en firewall; el trafico de entrada es configurado por default en el modo deny-all, de manera que se tiene que especificar expl铆citamente que puertos se necesita abrir a trafico de entrada.

Sistemas Operativos

  • La encriptaci贸n de datos sensitivos es generalmente una buena pr谩ctica de seguridad.
  • AWS provee la habilidad de encriptar vol煤menes EBS y sus snapshots mediante AES-256.
  • La encriptaci贸n ocurre en los servidores que almacenan las instancias de EC2, proporcionando encriptaci贸n de datos conforme se mueve entre instancias de EC2 y EBS.
  • Para realizar esto eficientemente y con baja latencia, la funcionalidad de encriptaci贸n en EBS solo esta disponible en las instancias de EC2 mas potentes (M3, C3, R3 y G2).

Elastic Load Balancer (ELB)

  • Es posible deshabilitar SSL en los Load Balancers.
  • Permite identificar los or铆genes de las direcciones IP de un cliente que se esta conectando a un servidor.

Direct Connect

  • Permite utilizar los servicios mediante una ruta directa hacia la red local de una empresa. https://grow.google/certificates/- Utiliza el standard 802.1 q BLANS, la conexi贸n dedicada puede particionarse en m煤ltiples interfaces virtuales. Esto permite usar la misma conexi贸n para acceder los recursos p煤blicos como objetos almacenados en S3 utilizando una direcci贸n IP p煤blica, y recursos privados como EC2, instancias corriendo dentro de un Amazon VPC mientras se mantienen una separaci贸n de los ambientes p煤blicos y privados.