🔥 Aislamiento de las instancias
☆ Características del aislamiento de las instancias
- Las instancias de los clientes no tienen acceso a los discos físicos, sino a discos virtualizados.
- La capa de virtualización reinicia cada bloque de almacenamiento utilizado por el cliente, de manera que nunca es expuesto a otro cliente.
- La memoria es asignada al cliente, y reducida a cero por el monitor de la maquina virtual cuando es designada de un cliente. Y no regresa al estado “disponible” hasta que la memoria es vaciada por completo.
☆ Otras Consideraciones
- Los sistemas operativos en las instancias virtuales son completamente controlados por el cliente, quien tiene acceso root o administrativo sobre las cuentas, servicios y aplicaciones.
- Amazon AWS provee una solución basada en firewall; el trafico de entrada es configurado por default en el modo deny-all, de manera que se tiene que especificar explícitamente que puertos se necesita abrir a trafico de entrada.
☆ Sistemas Operativos
- La encriptación de datos sensitivos es generalmente una buena práctica de seguridad.
- AWS provee la habilidad de encriptar volumenes EBS y sus snapshots mediante AES-256.
- La encriptación ocurre en los servidores que almacenan las instancias de EC2, proporcionando encriptación de datos conforme se mueve entre instancias de EC2 y EBS.
- Para realizar esto eficientemente y con baja latencia, la funcionalidad de encriptación en EBS solo esta disponible en las instancias de EC2 mas potentes (M3, C3, R3 y G2).
☆ Elastic Load Balancer (ELB)
- Es posible deshabilitar SSL en los Load Balancers.
- Permite identificar los origenes de las direcciones IP de un cliente que se esta conectando a un servidor.
☆ Direct Connect
- Permite utilizar los servicios mediante una ruta directa hacia la red local de una empresa.
https://grow.google/certificates/- Utiliza el standard 802.1 q BLANS, la conexión dedicada puede particionarse en múltiples interfaces virtuales. Esto permite usar la misma conexión para accesar los recursos públicos como objetos almacenados en S3 utilizando una dirección IP pública, y recursos privados como EC2, instancias corriendo dentro de un Amazon VPC mientras se mantienen una separación de los ambientes públicos y privados.