Comparación de nubes

Redes Zero Trust en AWS - Seguridad sin perímetro con Verified Access y PrivateLink

Explicamos la implementación de redes Zero Trust con AWS Verified Access, PrivateLink y VPC Lattice, comparando las diferencias de diseño con Azure Private Link.

約 5 分で読めます

Principios Zero Trust y el enfoque de implementación de AWS

Zero Trust es un modelo de seguridad basado en no confiar en nada y verificar siempre. A diferencia de la seguridad perimetral tradicional que confiaba en la red interna y defendía la frontera con el exterior, Zero Trust no otorga confianza implícita a ninguna ubicación de red. AWS implementa Zero Trust a través de múltiples capas: verificación de identidad con IAM, control de acceso a nivel de aplicación con Verified Access, conectividad privada entre servicios con PrivateLink y gestión unificada de comunicación entre microservicios con VPC Lattice. Estos servicios se combinan para construir una arquitectura de seguridad sin perímetro.

Verified Access - Acceso a aplicaciones sin VPN

AWS Verified Access es un servicio que proporciona acceso seguro a aplicaciones empresariales sin VPN. Tradicionalmente, los trabajadores remotos necesitaban conexión VPN para acceder a aplicaciones internas, pero las VPN tienen problemas de rendimiento, complejidad de gestión y el riesgo de movimiento lateral una vez conectados. Verified Access evalúa cada solicitud de acceso individualmente, verificando la identidad del usuario y la postura de seguridad del dispositivo para determinar si se permite el acceso. Se integra con proveedores de identidad (Okta, Azure AD, etc.) y servicios de gestión de dispositivos (CrowdStrike, Jamf, etc.) para tomar decisiones de acceso basadas en múltiples señales.

Conectividad privada entre servicios con PrivateLink

AWS PrivateLink es un mecanismo para conectar de forma privada recursos dentro de una VPC a servicios de AWS u otros servicios de VPC sin pasar por internet. Al usar PrivateLink, el tráfico permanece dentro de la red de AWS sin exponerse a internet, eliminando riesgos de seguridad. Se crean interfaces de red elásticas (ENI) dentro de la VPC del consumidor, y el tráfico hacia el servicio fluye a través de estas ENI. Esto permite acceder a servicios de AWS (S3, DynamoDB, etc.) y servicios de terceros publicados en AWS Marketplace de forma completamente privada.

VPC Lattice - Gestión unificada de comunicación entre microservicios

VPC Lattice es un servicio relativamente nuevo que alcanzó GA en 2023, proporcionando gestión unificada de la comunicación entre microservicios como servicio de red de aplicaciones. Tradicionalmente, gestionar la comunicación entre microservicios requería configurar load balancers, service mesh y reglas de seguridad individualmente, con una complejidad que aumentaba con el número de servicios. VPC Lattice abstrae esta complejidad, proporcionando descubrimiento de servicios, balanceo de carga, autenticación y autorización de forma unificada. Funciona a través de VPCs y cuentas, permitiendo la comunicación segura entre servicios en entornos multi-cuenta.

Diferencias de diseño con Azure Private Link

Azure también ofrece Private Link con un concepto básico compartido con AWS PrivateLink: crear endpoints privados dentro de la VNet para acceder a servicios de Azure de forma privada. Sin embargo, hay diferencias en los detalles de diseño. AWS PrivateLink permite publicar servicios propios como endpoints de PrivateLink, facilitando la provisión de servicios entre cuentas y a clientes. Azure Private Link Service ofrece funcionalidad similar pero con diferencias en la configuración de aprobación y la gestión de conexiones. En cuanto a equivalentes de VPC Lattice, Azure no tiene un servicio directamente comparable, requiriendo la combinación de Azure Front Door, Application Gateway y service mesh para lograr funcionalidad similar. Para profundizar en seguridad de red y Zero Trust, los libros relacionados (Amazon) también pueden ser útiles.

Resumen

Las redes Zero Trust de AWS se implementan a través de control de acceso a nivel de aplicación con Verified Access, conectividad privada entre servicios con PrivateLink y gestión unificada de comunicación entre microservicios con VPC Lattice. Estos servicios se combinan para construir una arquitectura de seguridad sin perímetro que no depende de la ubicación de red. Comparado con Azure, AWS tiene ventaja en la madurez de la publicación de servicios con PrivateLink y la gestión unificada de comunicación entre microservicios con VPC Lattice.

Servicios relacionados

Amazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursos

Artículos relacionados

La profundidad de los servicios de red de AWS - Diseño de redes empresariales con VPC, Transit Gateway y PrivateLinkComparamos los servicios de red de AWS centrados en VPC, Transit Gateway, PrivateLink, Direct Connect y Network Firewall con Azure VNet/ExpressRoute y GCP VPC/Cloud Interconnect, explicando la ventaja en flexibilidad para el diseño de redes empresariales.Control de acceso granular de AWS IAM - El principio de mínimo privilegio logrado por el diseño basado en políticasExplicamos la filosofía de diseño del control de acceso basado en políticas de AWS IAM y comparamos concretamente las diferencias de granularidad con Azure RBAC y GCP IAM.El poder de integración de los servicios de seguridad de AWS - Detección nativa de amenazas sin SIEM, de GuardDuty a DetectiveExplicamos el mecanismo de detección nativa de amenazas mediante la integración de GuardDuty, Security Hub, Detective y Macie, comparando la diferencia de filosofía de diseño con Azure Sentinel.

Más sobre este tema

Amazon.com es el mayor cliente de AWS - El secreto de la calidad del servicio nacido del dogfooding internoA partir del hecho de que el sitio de comercio electrónico de Amazon.com, Prime Video y Alexa funcionan sobre AWS, explicamos cómo el dogfooding interno mejora la calidad del servicio y cómo la carga del Prime Day ha fortalecido el diseño de AWS.La estructura por capas de los servicios AI/ML de AWS - La flexibilidad que ofrecen las 3 capas de SageMaker, Bedrock y servicios tipo APIOrganizamos los servicios AI/ML de AWS en 3 capas: SageMaker (control total), Bedrock (IA generativa gestionada) y Rekognition, etc. (tipo API). A través de la comparación con GCP Vertex AI y Azure OpenAI Service, explicamos la flexibilidad de AWS incluyendo la integración con silicio personalizado.Análisis de datos y Data Lake en AWS - El ecosistema integrado de Athena, Glue, Lake Formation y RedshiftExplicamos el stack integrado de análisis de datos de AWS con Athena, Glue, Lake Formation, Redshift y QuickSight, comparándolo con Azure Synapse Analytics y GCP BigQuery, destacando la ventaja de AWS en el grado de integración del ecosistema completo.Compatibilidad retroactiva y estabilidad de las API de AWS - La confianza que genera la política de no deprecar APIs publicadasExplicamos el historial de AWS de mantener su política de no deprecar APIs una vez publicadas, comparándolo con los cambios de marca de Azure y los casos de discontinuación de servicios de GCP, y por qué la estabilidad de las API es importante para las empresas.El diseño de Availability Zones de AWS - La diferencia en confiabilidad que genera la separación física y el aislamiento de fallosExplicamos la filosofía de diseño de las AZ de AWS como grupos de centros de datos físicamente independientes, comparándolas con las zonas de disponibilidad de Azure y GCP, y analizamos la diferencia en madurez del aislamiento de fallos a partir de incidentes reales.El valor de mercado de las habilidades AWS y la prima salarial de las certificacionesAnalizamos el número de ofertas de empleo que requieren habilidades AWS, la prima salarial de los titulares de certificaciones y el impacto en la trayectoria profesional, comparándolo con Azure y GCP, para evaluar el retorno de inversión de obtener certificaciones AWS.La comunidad técnica y los recursos de aprendizaje de AWS - Desde re:Invent hasta JAWS-UGComparamos las comunidades técnicas como re:Invent, AWS Summit y JAWS-UG, y la riqueza de documentación y formación en japonés con Azure y GCP, explicando la ventaja del entorno de aprendizaje de AWS.La cobertura de más de 143 certificaciones de cumplimiento de AWS - Desde ISMAP hasta PCI DSS, superando a la competenciaExplicamos las más de 143 certificaciones de cumplimiento obtenidas por AWS centrándonos en ISMAP, SOC, PCI DSS y HIPAA, y comparamos la cobertura de certificaciones con Azure y GCP.

Artículos y servicios similares

Acceso Zero Trust con AWS Verified Access - Conexión a aplicaciones sin VPNEliminación de VPN y acceso zero trust que verifica la identidad del usuario y el estado de seguridad del dispositivo en cada acceso. Presentamos el control granular con políticas Cedar.Amazon VPC LatticeServicio de red de aplicaciones que simplifica la conectividad, seguridad y monitorización entre serviciosAcceso de red Zero Trust - Acceso seguro sin VPN con AWS Verified AccessExplicamos el acceso Zero Trust sin VPN usando AWS Verified Access. Integración con proveedores de identidad, confianza de dispositivos, control de acceso basado en políticas y comparación con VPN tradicional.AWS Verified AccessServicio de acceso de red zero-trust que verifica la identidad del usuario y la postura del dispositivo antes de conceder acceso a aplicaciones corporativas sin necesidad de VPNAmazon VPC LatticeServicio de red de aplicaciones que proporciona gestión unificada de comunicación servicio-a-servicio entre VPCs y cuentas, con autenticación, autorización y control de tráfico integrados