🥇 Network Access Controllers (Controles de Acceso de la Red)

🍿 ¿Qué son los Security Groups (Grupos de Seguridad)?

  • Instance Level (1era capa de seguridad).
  • Soporta reglas “Allow” únicamente.
  • Es stateful (las reglas aplicadas al tráfico de entrada se aplican por default al de salida).
  • Evalúa todas las reglas antes de decidir.
  • Se aplica a una instancia solo si se ha especificado.

🍿 ¿Qué es el Network ACL Access Controller List (Tabla de Control de Acceso)?

  • A nivel de la subred (2da capa de seguridad).
  • Soporta reglas “allow y deny”.
  • Es stateless (las reglas tráfico de entrada y salida debe ser especificadas individualmente).
  • Procesa las reglas en orden numérico ascendente.
  • Se aplica por default a todas las instancias de la subred.

Cuando se crea un VPC, por default es creado una ACL con reglas que permiten todo el tráfico de entrada y salida. Cuando se crea un ACL personalizado, todo el tráfico de entrada y salida es bloqueado por default.

Un ACL puede expandirse a múltiples subnets, pero una subnet solo puede estar asociada a un solo ACL.

🍿 ¿Cómo crear un ACL personalizado?

  1. Vamos a VPC > Network ACL’s > my_vpc.

En las pestañas de Inbound Rule / Outbound Rule, podemos darnos cuenta que el tráfico en la regla 100 esta permitido tanto para la entrada como para la salida (esto se autoasigna cuando creamos el vpc).

  1. Creamos un un nuevo ACL, VPC > Network ACL’s > Create Network ACL.
Name Tag
my_acl
VPC
my_vpc
  1. Asociamos el ACL con la red publica VPC > Networks ACL’s > my_acl > Subnet Associations > us-east-1a > Save.
  2. Intentamos abrir con el navegador el IP del servidor web, nos daremos cuenta que este no responde.

Un ACL personalizado bloquea por default todo el tráfico de entrada y salida.

  1. Vamos a crear las reglas i/o del ACL para los diferentes puertos de los servicios, así como los ephemeral ports, VPC > Network ACL’s > my_acl > I/O Rules (Aplicar las mismas).
  • 100, HTTP (80), TCP (6), 80, 0.0.0.0/0, ALLOW
  • 200, HTTPS (443), TCP (6), 443, 0.0.0.0/0, ALLOW
  • 300, SSH (22), TCP (6), 22, 0.0.0.0/0, ALLOW
  • 400, RDP (3389), TCP (6), 3389, 0.0.0.0/0, ALLOW
  • 500, Custom TCP Rule, TCP (6), 1024-65535, 0.0.0.0/0, ALLOW
  1. Refresca el IP del servidor web en el navegador y en esta ocasión será visible.

🍿 Resumen del uso de ACLs

  • El vpc viene con un ACL automático y por default permite la entrada y salida de tráfico.
  • Si se crea un ACL personalizado, este bloqueará por default todo el tráfico i/o.
  • Cada ACL puede ser asociado con múltiples subnets pero cada subnet solo puede ser asociada con un ACL.
  • Un ACL contiene una lista numerada de reglas que es evaluada en base a su numeración de manera ascendente.
  • Un ACL a diferencia de un Security Group, requiere que el tráfico de entrada y salida sea especificado individualmente.
  • Las IPS específicas se bloquean con ACL’s.