Seguridad

Control de tráfico VPC con AWS Network Firewall - Reglas stateful y filtrado de dominios

Explicación del control de tráfico VPC con AWS Network Firewall. Se presenta la diferenciación con Security Groups, el diseño de reglas, el filtrado de dominios y las reglas gestionadas.

約 5 分で読めます

Posicionamiento de Network Firewall y diferencias con Security Groups

AWS Network Firewall es un servicio de firewall gestionado que inspecciona el trafico en linea dentro de una VPC. Los Security Groups se limitan al filtrado L3/L4 a nivel de ENI, mientras que Network Firewall proporciona inspeccion de protocolos de aplicacion L7, filtrado basado en dominios y deteccion/prevencion de intrusiones (IDS/IPS). Se despliega en una subred dedicada de firewall y se integra con la tabla de rutas para inspeccionar todo el trafico que pasa por esa subred. A diferencia de los firewalls de nueva generacion on-premises como Palo Alto Networks o Fortinet, Network Firewall elimina la necesidad de adquisicion de hardware y gestion de firmware como servicio completamente gestionado.

Diseno de reglas y filtrado de dominios

Las reglas stateless coinciden con 5-tuplas (IP origen/destino, puerto origen/destino, protocolo) y son adecuadas para el procesamiento de alto rendimiento de grandes volumenes de trafico. Las reglas stateful rastrean el estado de la conexion y soportan tres formatos: reglas IPS compatibles con Suricata, reglas de listas de dominios y reglas de 5-tuplas. El filtrado de dominios inspecciona la cabecera HTTP Host o el TLS SNI (Server Name Indication) para filtrar segun listas de permisos o denegacion. La inspeccion TLS SNI permite filtrar dominios incluso en trafico HTTPS cifrado. Controlar el trafico de salida con listas de permisos, permitiendo solo comunicacion con dominios necesarios para la operacion, es efectivo para prevenir la exfiltracion de datos.

Arquitectura de defensa en profundidad con WAF

Combinar Network Firewall con AWS WAF permite construir una defensa multicapa integral desde la capa de red hasta la capa de aplicacion. Network Firewall opera a nivel de subred VPC inspeccionando todo el trafico entrante y saliente. WAF opera delante de CloudFront, ALB y API Gateway, proporcionando proteccion de la capa de aplicacion mediante reglas de inyeccion SQL, XSS y basadas en tasa. Una arquitectura de firewall centralizada con Transit Gateway agrega el trafico de multiples VPC a un unico endpoint de Network Firewall, aplicando politicas de seguridad unificadas.

Reglas gestionadas y gobernanza organizacional

Los AWS Managed Rule Groups son conjuntos de reglas con firmas de amenazas conocidas que AWS actualiza automaticamente. Cubren patrones de comunicacion C2 de malware, dominios maliciosos conocidos y patrones de comunicacion de botnets. Firewall Manager permite aplicar politicas de firewall unificadas en todas las cuentas de Organizations, aplicandose automaticamente cuando se crean nuevas cuentas o VPC. Gestionar centralizadamente las politicas de Network Firewall y WAF garantiza la gobernanza de seguridad organizacional. Para aprender sobre seguridad de red en la nube, libros especializados (Amazon) son utiles.

Analisis de logs e integracion de inteligencia de amenazas

Network Firewall puede enviar logs de alertas y logs de flujo a S3, CloudWatch Logs y Kinesis Data Firehose. Los logs de alertas registran informacion detallada del trafico que coincide con reglas IPS, utiles para investigacion de incidentes de seguridad. Los logs de flujo registran metadatos de todo el trafico para visualizacion de red y deteccion de anomalias. Agregar estos logs en OpenSearch Service y visualizarlos en dashboards permite monitoreo de seguridad en tiempo real. Tambien se puede integrar con resultados de deteccion de amenazas de GuardDuty para agregar automaticamente direcciones IP detectadas a listas de bloqueo. La respuesta automatizada con Lambda y EventBridge minimiza el tiempo desde la deteccion hasta el bloqueo.

Precios de Network Firewall

Los precios de Network Firewall se componen de la tarifa por hora del endpoint del firewall y la tarifa de procesamiento de datos. El endpoint cuesta aproximadamente 0.395 dolares por hora por AZ (aproximadamente 284 dolares mensuales). El procesamiento de datos es de aproximadamente 0.065 dolares por GB. Para una configuracion de 2 AZ procesando 1 TB de trafico mensual, el costo es aproximadamente 633 dolares (endpoints 568 dolares + procesamiento 65 dolares). Se optimizan costos usando Security Groups y NACL para filtrado que no requiere Network Firewall, enrutando solo trafico que necesita inspeccion L7.

Resumen

Network Firewall es un firewall gestionado que proporciona inspeccion de trafico L7 mas alla de lo que los Security Groups pueden manejar. Ofrece proteccion avanzada mediante reglas compatibles con Suricata y filtrado de dominios, construyendo seguridad integral con defensa multicapa junto a WAF. La integracion de inteligencia de amenazas con GuardDuty permite bloqueo automatizado, y Firewall Manager aplica politicas unificadas en toda la organizacion.

Servicios relacionados

AWS Network FirewallServicio de firewall gestionado para el control granular del tráfico de red en VPCAmazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursosAWS Firewall ManagerUn servicio para gestionar centralmente reglas de firewall en toda su organización de AWS

Artículos relacionados

Escaneo automatizado de vulnerabilidades con Amazon Inspector - Evaluación continua de seguridad para EC2, Lambda y ECREscanea automáticamente instancias EC2, imágenes de contenedores ECR y funciones Lambda en busca de vulnerabilidades y priorízalas con puntuaciones de riesgo basadas en CVE. Aprende a lograr escaneo sin agente mediante integración con Systems Manager.Acceso Zero Trust con AWS Verified Access - Conexión a aplicaciones sin VPNEliminación de VPN y acceso zero trust que verifica la identidad del usuario y el estado de seguridad del dispositivo en cada acceso. Presentamos el control granular con políticas Cedar.Bot Control y prevención de fraude en AWS WAF - Implementación de protección contra bots y prevención de apropiación de cuentasDetecta scrapers y herramientas de automatización con Bot Control, y previene credential stuffing con ATP. También presentamos el diseño de experiencia de usuario con challenges y CAPTCHA.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS Network FirewallServicio de firewall de red gestionado que inspecciona el tráfico de la VPC de forma stateful, proporcionando prevención de intrusiones y filtrado por dominioGestión centralizada de reglas de seguridad con AWS Firewall Manager - Despliegue organizacional de WAF y Security GroupsGestionamos centralizadamente las reglas WAF, Security Groups y políticas de Network Firewall en toda la organización, manteniendo la línea base de seguridad con aplicación automática a nuevas cuentas.AWS Firewall ManagerServicio de gestión de seguridad que aplica y administra de forma centralizada reglas de WAF, Shield Advanced, Security Groups y Network Firewall en múltiples cuentas y recursos bajo Organizations