Redes

Security Groups son Stateful, NACLs son Stateless - La decisión de diseño detrás de esta diferencia

Explicamos cómo los Security Groups operan de forma stateful mediante el seguimiento de conexiones, por qué las NACLs son stateless, la trampa de los puertos efímeros y los patrones de diseño de defensa en profundidad combinando ambos.

約 7 分で読めます

La diferencia entre Stateful y Stateless

Un Security Group es un firewall stateful. Las respuestas a las solicitudes permitidas por las reglas de entrada se permiten automáticamente independientemente de las reglas de salida. A la inversa, las respuestas a las solicitudes permitidas por las reglas de salida se permiten automáticamente independientemente de las reglas de entrada. Una NACL (Network Access Control List) es un firewall stateless. Las reglas de entrada y salida se evalúan de forma independiente. Incluso si una respuesta pertenece a una solicitud permitida por una regla de entrada, será bloqueada si no está explícitamente permitida por una regla de salida. Esta diferencia se origina en una distinción fundamental a nivel de implementación. Los Security Groups mantienen una tabla de seguimiento de conexiones (Connection Tracking) que registra el estado de cada conexión (IP de origen, IP de destino, puerto, protocolo). Cuando llega un paquete de respuesta, se compara con la tabla de seguimiento de conexiones y, si pertenece a una conexión existente, se permite automáticamente. Las NACLs no mantienen una tabla de seguimiento de conexiones y evalúan cada paquete de forma independiente.

Por qué existen dos tipos de firewalls

Aunque los Security Groups por sí solos podrían parecer suficientes, las NACLs existen debido al principio de defensa en profundidad (Defense in Depth). Los Security Groups operan a nivel de instancia (nivel de ENI), mientras que las NACLs operan a nivel de subred. Estas dos capas proporcionan protección en diferentes niveles. Si un Security Group se ve comprometido (por ejemplo, si un atacante con permisos IAM modifica las reglas del Security Group), la NACL sirve como respaldo. Dado que las NACLs se aplican a toda la subred, mantienen la protección incluso si los Security Groups de instancias individuales son alterados. Otra razón es la necesidad de reglas de Deny explícitas. Los Security Groups solo pueden definir reglas de permiso, no reglas de denegación. Si desea bloquear explícitamente el acceso desde una dirección IP específica, los Security Groups no pueden hacerlo. Las NACLs pueden definir tanto reglas de permiso como de denegación, evaluadas en orden por número de regla, lo que permite bloquear explícitamente direcciones IP específicas.

La trampa de los puertos efímeros con NACLs

El error de configuración más común causado por la naturaleza stateless de las NACLs es no permitir los puertos efímeros (puertos temporales). Cuando un cliente se conecta a un servidor, el puerto de origen del cliente utiliza un puerto efímero asignado dinámicamente por el sistema operativo. Linux utiliza el rango 32768-60999 y Windows utiliza 49152-65535. Incluso si la regla de salida de la NACL permite HTTP (puerto 80), la respuesta se envía al puerto efímero del cliente. Si la regla de entrada de la NACL no permite el rango de puertos efímeros, la respuesta es bloqueada. Este problema no ocurre con los Security Groups. Al ser stateful, las respuestas a solicitudes permitidas en la salida se permiten automáticamente. Al usar NACLs, es práctica común permitir el rango de puertos efímeros (1024-65535) tanto en las reglas de entrada como de salida. Si permitir un rango tan amplio resulta incómodo, utilice Security Groups para el control granular y mantenga las NACLs para el control grueso a nivel de subred.

Detalles del seguimiento de conexiones de Security Groups

El seguimiento de conexiones de los Security Groups tiene tanto conexiones rastreadas como no rastreadas. Cuando se configuran reglas que permiten todo el tráfico (0.0.0.0/0) tanto para entrada como para salida, el seguimiento de conexiones no se realiza porque es innecesario. En este caso, se elimina la sobrecarga del seguimiento de conexiones, mejorando el rendimiento. La tabla de seguimiento de conexiones tiene un límite de tamaño. Por defecto, cada ENI puede mantener hasta 65,535 conexiones rastreadas. Cuando se alcanza este límite, no se pueden establecer nuevas conexiones. Las cargas de trabajo que manejan grandes cantidades de conexiones de corta duración (como instancias detrás de un balanceador de carga) deben vigilar el agotamiento de la tabla de seguimiento de conexiones. La métrica de CloudWatch ConnTrackAllowanceExceeded puede usarse para monitorear el agotamiento de la tabla de seguimiento de conexiones. Los tiempos de espera del seguimiento de conexiones son 5 días para conexiones TCP establecidas, 180 segundos para UDP y 30 segundos para ICMP. Las conexiones que expiran se eliminan de la tabla.

Patrones prácticos de diseño de defensa en profundidad

A continuación se presentan patrones de diseño prácticos que combinan Security Groups y NACLs. Para un ALB en una subred pública, permita HTTP/HTTPS de entrada (0.0.0.0/0) en el Security Group y deje la NACL en su configuración predeterminada (permitir todo). Dado que el ALB es un servicio público, no es necesario restringir a nivel de NACL. Para servidores de aplicaciones en una subred privada, permita el tráfico de entrada solo desde el Security Group del ALB en el Security Group, y permita el tráfico de entrada solo desde el CIDR de la subred del ALB en la NACL. El Security Group permite solo el tráfico del ALB, y la NACL proporciona defensa de respaldo a nivel de subred. Para la subred de base de datos, permita el tráfico de entrada solo desde el Security Group del servidor de aplicaciones en el Security Group, y permita el tráfico de entrada solo desde el CIDR de la subred de aplicaciones en la NACL. Si se detecta un ataque desde una dirección IP específica, puede bloquearse inmediatamente con una regla de denegación en la NACL. Los cambios en Security Groups se aplican por instancia, pero los cambios en NACLs se aplican instantáneamente a toda la subred, lo que hace que las NACLs sean adecuadas para respuestas de emergencia. Para aprender diseño de seguridad de redes de forma sistemática, libros especializados (Amazon) son un recurso útil.

Servicios relacionados

Amazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursosAWS Network FirewallServicio de firewall gestionado para el control granular del tráfico de red en VPC

Artículos relacionados

Por qué el CIDR predeterminado de VPC es /16 - Curiosidades y trampas del diseño de direcciones IPExplicamos por qué el CIDR predeterminado de VPC es /16, la historia del espacio de direcciones privadas RFC 1918, las 5 direcciones IP no utilizables en subredes y los patrones de fallo en el diseño CIDR.La identidad del resolver .2 de VPC - Relación entre el DNS interno de AWS y Route 53 ResolverExplicamos qué es el resolver DNS de VPC (dirección CIDR+2), la integración con zonas alojadas privadas, el DNS híbrido con endpoints de Route 53 Resolver y el uso de logs de consultas DNS.Hallazgos más comunes en Well-Architected Review - 5 errores de diseño que los ingenieros pasan por altoExplicamos los problemas de diseño señalados repetidamente en AWS Well-Architected Review, centrándonos en 5 áreas: despliegue en una sola AZ, falta de backups, logs sin utilizar, optimización de costos abandonada y permisos excesivos en Security Groups.

Más sobre este tema

Construcción de service mesh con AWS App Mesh - Control de comunicación entre microservicios y observabilidadPresentamos cómo configurar de forma declarativa despliegues canary con sidecar Envoy, políticas de reintento y cifrado mTLS, y cómo visualizar las dependencias entre servicios con la integración de X-Ray.Descubrimiento de servicios con AWS Cloud Map - Resolución dinámica de nombres para microserviciosDescubra dinámicamente endpoints de microservicios usando enfoques basados en DNS y API. Aprenda cómo automatizar el registro y desregistro de servicios mediante integración con ECS y EKS.Cómo funcionan los más de 600 PoPs de CloudFront - Enrutamiento Anycast y la jerarquía de cachéAprenda cómo CloudFront enruta las solicitudes de los usuarios al PoP más cercano usando Anycast, la estructura de dos niveles de edge locations y cachés de borde regionales, y los factores de diseño que determinan las tasas de acierto de caché.Diseño de conexión dedicada - Conexión de red privada estable con Direct ConnectExplicamos las técnicas de diseño de conexión dedicada con AWS Direct Connect, presentando la selección entre conexión dedicada y conexión hospedada, la configuración redundante y la integración con VPC para lograr una conexión de red privada estable.Conexión dedicada con AWS Direct Connect - Configuración redundante y control de tráficoDiseñe configuraciones redundantes de conexión dedicada y conéctese a VPCs de múltiples regiones con Direct Connect Gateway. También presentamos la agregación de ancho de banda con LAG y el cifrado MACsec.Gestión y diseño de Elastic IP - Uso de IP estáticas y optimización de costosExplicamos la asignación de Elastic IP, la asociación con EC2, el impacto en costos de EIP no utilizadas y la consideración de alternativas.Por qué ELB tiene 3 tipos - La lógica de diseño detrás de la separación de ALB, NLB y CLBExplicamos por qué los 3 tipos de balanceadores de carga ALB, NLB y CLB (Classic) coexisten sin unificarse, desde la perspectiva de las capas del modelo OSI, las características de rendimiento y la evolución histórica.Optimización de red global con AWS Global Accelerator - Entrega de baja latencia y failoverAprende a enrutar tráfico hacia la red global de AWS usando IPs Anycast, diseñar grupos de endpoints y lograr failover mediante health checks.

Artículos y servicios similares

Diseño de red en Amazon VPC - Configuración de subredes y optimización de NAT GatewayPresentamos el diseño de separación de subredes públicas/privadas, la gestión por capas de Security Groups y la reducción de costos de NAT Gateway mediante Gateway VPC Endpoints.AWS Network FirewallServicio de firewall de red gestionado que inspecciona el tráfico de la VPC de forma stateful, proporcionando prevención de intrusiones y filtrado por dominioGestión de la postura de seguridad - Plataforma integrada de monitoreo de seguridad con AWS Security HubExplicamos el monitoreo integrado de seguridad con AWS Security Hub y la automatización de la detección de amenazas mediante la integración con GuardDuty. Presentamos la visualización del estado de cumplimiento de las mejores prácticas de seguridad y la gobernanza de seguridad en entornos multi-cuenta.Control de tráfico VPC con AWS Network Firewall - Reglas stateful y filtrado de dominiosExplicación del control de tráfico VPC con AWS Network Firewall. Se presenta la diferenciación con Security Groups, el diseño de reglas, el filtrado de dominios y las reglas gestionadas.